因此启用了 IPv4 和 IPv6 的转发功能。由于我们没有通过用于流量转移的接口进行路由,因此我们必须禁用反向路径过滤或将其设置为“松散模式”——我们已经这样做了——这样通过这些接口的数据包就不会被丢弃。
我们已将一个 NAPI 轮询周期(net.core.netdev_budget)中的最大数据包数量增加到 1000。由于在这种情况下我们更喜欢吞吐量而不是延迟,因此我们将环形缓冲区设置为最大值。
Hostinger 环参数配置,环缓冲区设置为 4096。
我们已经运行这个解决方案六个月了,可以看到这些小的改变足以应对任何预期规模的攻击。我们没有深入调整系统,因为默认值是合理的,不会引起任何问题。
接下来,我们有行动。当检测到或完成攻击时,会触发一项行动。我们用它来转移流量(通过 ExaBGP 进行路由公告)、将攻击情况通知我们的监控团队(来自实例的 Slack 消息)等等。
当检测到或完成攻击时的操作的代码配置
阈值也以代码形式进行管理,提供多种检测攻击的选项。例如,如果我们检测到每秒有 100K 个 UDP 数据包针对单个目标,我们就会启动过滤过程。它也可能是 TCP 流量、HTTP/HTTPS 请求等。
Hostinger 配置用于检测攻击的阈值。
需要保护的前缀也会从 Chef 数据包中自动添加。
Hostinger 应受保护的前缀的代码配置。
结果
Grafana 如何处理 DDoS 攻击?让我们看 越南手机号格式 看最近一次8 Gbps和1 Mpps流量的攻击。
以下是进入过滤器实例的流量:
该图表显示了 8 Gbps 和 1 Mpps 的流量攻击进入过滤器实例。
以下是传出到终端设备的流量:
显示没有流量流向终端设备的图表
每秒传入的数据包数:
显示每秒传入 从空白网站开始的新用户将默认获得 数据包的图表。
每秒传出的数据包数:
显示每秒传出数据包的图表。
如您所见,从过滤实例到终端设备有一小段突发流量。这是攻击模式 电话号码业务线索 识别过程造成的间隙。这段时间很短,通常在1 到 10 秒之间,但需要注意。如图所示,一旦识别出攻击模式,您就安全了!
攻击检测的速度如何?这部分取决于sFlows,我们知道,它不我们的实例必须能够在 如端口镜像快。话虽如此,它设置简单、灵活且成本较低。一旦攻击开始,将流量转移到过滤器实例的时间需要20 到 50 秒。