パケットを大量に送り付けるタイプのDDoS攻撃って、サーバの通信特性を考えたフィルタを付けることができれば弾ける気がしますが、どうなんでしょうか…。PPSが大きいとそんなにインテリジェンスなことはできないのかもしれませんが。
通常のWebサーバって、受信パケットと送信パケットの比率が1:1000くらいなので、「ある接続元の通信が1つのセッション当たり20kbpsを超えたらその接続元を4時間遮断してください」とかいうフィルタがあれば…。#ファイルのアップロードやOSのアップデートは然りで。
あとついでですが「私のサーバは不特定多数との通信は80番ポートでしか発生しません」というボタンも普通についていて欲しい気がします。
もちろんサーバに通信が入ってくればどうにでもできるので、それよりも上流の設定を考えるという話です。
どうでしょうか。
車輪の再開発っぽいですが。
2015年02月27日
パケットの大量送信によるDDoS攻撃をWebサーバで防ぐには?
posted by つの at 23:29| 日記
■雀荘戦ルールについて■
場千五(1本場1500点)を採用しています
東西場を採用しています(西も場風)