高级防火墙使用什么技术来防御DoS / DDoS？

#1 楼

实际上，这是两种不同但又相似的攻击。

“常规” DoS基于尝试通过某种错误或漏洞使服务器/防火墙崩溃。例如。众所周知的SYN Flood攻击。当然，针对这些问题的保护是针对该缺陷（例如SYN cookie）的，并且通常是安全的编码/设计。

但是，DDoS只是试图通过向大量服务器发送大量看似合法的请求来淹没服务器/防火墙。
说真的，单个防火墙无法真正防御这种情况，因为没有真正的方法标记“不良”客户。这只是“尽力而为”的问题，例如限制自身以使其不会崩溃，负载平衡器和故障转移系统，尝试将IP列入黑名单（如果不是根据“不良”，而是根据使用情况），当然，还应积极通知管理员。
这可能是最重要的，因为在明显的DDoS情况下（我说是显而易见的，因为正常的高峰使用可能看起来像DDoS-真实的故事），这确实需要人工来区分情况，并确定是否要关闭，尽力而为，提供另一个包装盒，等等（或使用反击... ssshhh！）

#2 楼

我对DoS和DDoS攻击的经验是基于担任ISP的思科工程师，后来担任大型Global的安全经理。根据这一经验，我发现，要有效地应对大规模和复杂的攻击，就需要被攻击的组织与其ISP或DDoS缓解合作伙伴之间建立良好的合作关系（是的，现在有许多公司致力于此，大型ISP有权使用，但可以使用其全球网络来承担攻击过程中产生的额外流量。

如果遇到超出带宽容忍范围（又称为带宽）的攻击，请考虑以下几点

没有缓解伙伴的地方：
与ISP建立牢固的关系。确定发生攻击时所需的正确团队和联系人。

使用防火墙（或其他日志记录设备）获取攻击证据（源IP，协议，数据包长度等）因为这些信息对于ISP如何决定响应方式非常有价值。凌晨三点尝试从命令行在Cisco路由设备上捕获流量并不是一件有趣的事情！因此，任何帮助表示赞赏。 :-)

使用此方法，您可能的方法是过滤出ISP云中的流量。如果您能够提供足够的信息，并且流量如此大，则ISP很有可能能够过滤掉恶意流量并保留有效的网络流量以自由访问您的网络。但是，如果引起ISP的延迟问题，那么它们很可能会在其BGP网关上给您的整个路由造成黑洞，您将从网上消失。其他路由筛选器会在网关上造成负载，因此不要期望您的ISP添加多个筛选器，因为这很可能会影响其他用户。

使用缓解伙伴：

我只能从一个提供者的经验谈起，因此您将需要做功课，以确定是否需要此服务，如果需要，最好由谁来提供。

该服务基于BGP路由通告和攻击监控。一旦发现攻击，缓解合作伙伴就会发布您的路由以通过其网络，在该网络中，核心路由器用于过滤恶意流量，然后再传递给组织。

我在所有网络中所扮演的角色这是为了测试缓解DDoS的合作方法的实施。这涉及利用全球安全工程师团队来产生足够的流量以进行有效的测试。我们正在测试识别攻击然后进行有效响应的能力。基于此，我们对他们的整体方法和解决方案印象深刻。

#3 楼

防止DDOS不能直接由防火墙执行的保护的一种类型是，以一种针对本地服务器和另一国家/地区的请求将来自某个国家/地区的所有请求都分发到同一URL或域的方式，在全球范围内分发页面内容。是针对其他本地服务器执行，以在本地服务器之间分配负载，并且不会使唯一服务器过载。该系统的另一点是请求不会传输太远。

这是DNS的工作，其基础结构称为内容交付网络或CDN。

公司称为CloudFlare提供这种服务。

#4 楼

DDOS通常是通过向服务器发送大量数据包来完成的，服务器自然会疯狂地尝试在其中进行处理。一旦防火墙发现可能的DDOS，就可以将其配置为将具有足够高的PPS（每秒数据包）的所有客户端列入黑名单。

过滤器可以随时打开和关闭，因此，如果您遇到DDOS，则可以使用非常严格的规则集打开过滤器。

#5 楼

我想回答问题的第一部分，即“使用具有很多资源（例如CPU和内存）的服务器来扩展应用程序”。建议在执行服务器扩展之前执行应用程序扩展。应用程序分析可以分为以下步骤：


加载测试：通过诸如pylot之类的负载测试工具对应用程序执行压力测试。
查询优化：第二项任务是优化查询，即对于小型数据库可能有效的查询，但对于大型数据库却无法扩大规模。
应用程序分片：将大多数访问内容部署在更快的磁盘上。

有很多要添加的内容该列表的一个很好的阅读内容是“如何扩展Web应用程序”