遇上DDoS或多或少還是可以從「連線數」這方面下手去對網路設備或伺服器進行調整。
合理的IP數量是可以觀察的指標。首先DDoS攻擊來源一定不是來自單一IP,因為來自單一IP就是純DoS攻擊而非分散式的DoS攻擊了。
DDoS是分散式攻擊,那攻擊來源一定是來自非常多的不同IP,正常單一IP對伺服器的連線數量,都會落在有一個合理的範圍內(以LOL來說一般開房五打五是十人),而DDoS攻擊者,有可能因為沒有足夠數量的「殭屍大軍」發動攻擊而只好對手上有限的「殭屍大軍」多加利用,增加每台「殭屍電腦」所產生的連線數。
例如每一台「殭屍電腦」對某某網站發動100條以上的同時連線,雖然這樣的攻擊連線總量與一般的DDoS攻擊同樣驚人,但是卻提供了一個可行的反制辦法,雖不能完全阻止攻擊,但多少可以將攻擊的量縮小。
我的方案是,在未被攻擊時預先設定房間一個合理的單一IP同時連線數,在遇到攻擊的情況下再大量降低這個值,這樣只頻寬足夠,防火牆或伺服器有達到一定的等級,就可以讓真正需要連線的使用者繼續使用該網路服務,而不會因為服務完全停擺而造成大量的經濟損失。
當攻擊的規模被成功限制時,網管人員就有時間再透過ISP的協助及IP過濾等方式,將攻擊所帶來的傷害進一步的縮小及著手進行相關的調查,最後讓攻擊者無功而返。
找找資料+一點學以致用 其實我也不知道行不行得通啦 ㄏㄏㄏㄏ