实现抗DDOS攻击的美国VPS思路

66ip1

最近有两个VPS用户受到DDOS与CC攻击。其中一位已经换了多个服务商，挂上去几天就被服务商关机了，当其到我这里来时一天就被PEER1的机房封了三个IP，该VPS用户苦不堪言！

对于CC比较容易发现与解决。用netstat -s看下同时连接数即可发现。装个CC的防范工具就可以防住了，如冰盾的免费版（要进去配置一下，限制同一IP最多30连接），我还看到一个CC的免费防护软件也很不错。

对于DDOS我分析了一下，认为在一定条件下其并不可怕。

====================
（已经提供IP供攻击测试，但期间服务未中断或异常，如果其它需要攻击测试者请联系我）

[ 本帖最后由 66ip1 于 2011-1-29 14:49 编辑 ]

cnweb

还没写完啊

[ 本帖最后由 cnweb 于 2011-1-28 23:02 编辑 ]

easyboy

可怕的是你 2个字  待续。。

66ip1

现在针对美国VPS的DDOS攻击是很多的。听我的用户讲，他所做东西有一些同行，因为商业利益会盯着他的网站进行攻，而且攻击都是花钱请人干的，按时间计费。
我就想，针对美国VPS发起DDOS我想一般多会利用国外的肉鸡或机器搞吧？因为那样到被攻机器的带宽更大，更易得逞。一般应该少用国内的线路搞，因为国内线路到美国的带宽不是很好的，攻击效果会差一点；并且现在国内到处是硬防什么的，专业做攻击的除非是组织肉鸡，想自己弄服务器搞攻击难度也比较大。
（待续）

southwind

tony1999

楼主牙膏

rebill

一口气说完吧。

66ip1

我继续想，如果可以对于访问VPS的流量进行区分，来自国外的访问限定一个很小的流量，来自国内的访问限定一个大点的流量，不就可以将可能的攻击防住了吗？当攻击时，来自国外的攻击流量会很大，但本VPS只允许一定带宽的数据过来，超出后就丢掉包，虽然此时国外可能不能访问VPS了，但国内的人照样可以访问，又有什么大碍呢？攻击是有成本，他总不会无限成本地攻下去的。

66ip1

上面的想法粗糙了一点，如果可以再做细一点，将来自中国每一个IP段的访问的流量限定为一个固定值，就还可以提防来自国内的大量肉鸡的DDOS。中国的IP段不多的，很好找。

我写了一个规则，限制国内每个IP段每秒可以通过30个包，其它IP（以国外IP为主了）一共每秒可以通过30个包。

我选择了一家西岸的线路，他家网络设备好象比较牛。把这个规则弄上去。再把客户的VPS用这条线路。

66ip1

已经过去有几天了，放上去受攻多月的客户反映感受不到攻击了！！
（该不会是攻击的专家正好回家过年了吧？！！）