1、DDOS很难完全防御,当DDOS攻击量足够大的时候,所有的被攻击者都会瘫痪。所以防护的前提只是根据攻击量的大小进行相应的投资,防御只是相对的。

2、根据我的测试,除了大的网站外,国内目前网站绝大部分中小规模的企业/政府以及各种咨讯网站都没针对DDOS采取日常的DDOS防护措施,意识是一个方面,防护的巨大成本又是一个方面。典型的syn ddos攻击是以小带宽博大带宽,只要攻击者有一个放在宽带网上的服务器,非常容易实施攻击。

3、针对DDOS攻击,比较彻底防御的方式主要是路由器+防火墙+负载均衡的方式,需要ISP的配合,以及投入负载均衡服务器,实现比较困难。

对于中小规模的网站来说,实际可行的方式是直接加载专门的防DDOS的硬件,目前国内比较有效的是国内的绿盟的黑洞系列,专门用来防DDOS的,部署比较方便。而其国内外的硬件防护类主要是综合的硬件防火墙,防DDOS只是其中一项功能,效果和效率都不是太好,而且很昂贵。另外sharesec.com的硬件防火墙据说他们本人说效果很好,但暂时无法得知实际效果。

4、软件防护方面,诸如blackice这样的防火墙软件基本没什么效果,而且占用服务器资源较多。而专门的软件比较流行的有KFW以及冰盾,根据网上反馈的效果来说,KFW并不好,效果不很理想,而且价格昂贵。而冰盾使用起来,据黑客基地的站长说,效果很好,他们的网站在被D的时候,确实D不动。但我本人一直没用起来,不知道为何,可以详细做下配置,之后再看。

5、绿盟的黑洞主要分为百兆和千兆,前者用于保护单个站点或者服务器,后者用来保护骨干设备,比如千兆交换机。百兆又细分为5个接口,10个接口等等。百兆5接口的报价138000元。

6、目前万网的虚拟主机就采用的是黑洞的产品,价格比较贵,但关键是限制了流量,3200元的,每月的流量限制是30G。很容易超出。

而服务器托管商方面,实力大都不行,有黑洞防火墙的,都是在应急的时候使用,平常并不架设。租用的价格我看到一家是1天500元。

总体来说,由于目前网上DDOS攻击的易实施以及防护软硬件的昂贵,让DDOS攻击成了很多站长的噩梦,在2005年,必定会成为更多站长的噩梦……


评论

该日志第一篇评论

发表评论

评论也有版权!