自架低價防DDoS攻擊系統(tǒng)有哪些方法？

自架低價防DDoS系統(tǒng)有兩種解釋方法：

1.只保證游戲服務(wù)器的網(wǎng)絡(luò)(家庭網(wǎng)絡(luò))不受攻擊；

確保游戲服務(wù)器的可用性。

由于這兩種方法對游戲服務(wù)器的保護提前聲明，預(yù)算非常有限：

·這種方法沒有預(yù)防TCP/應(yīng)用層攻擊。

·該方法不能保證游戲服務(wù)器的可用性。

·本文作者從未驗證或?qū)嵤┻^這種方法。

·這種方法必然會增加游戲服務(wù)器的連接延遲。

·這種方法要錢。

·用戶需要相當多的程序編寫技術(shù)和Linux服務(wù)器管理技術(shù)。

·這種方法有未知的風(fēng)險，如受到影響DDoS服務(wù)器停止為您服務(wù)的機會太頻繁了。

方法一

這種方法相對簡單，成本相對較低。該方法用于保護游戲服務(wù)器。當保護服務(wù)器受到攻擊時，可能有以下三種情況：

·自動防護服務(wù)器Blackhole或nullroute一段時間，比如幾個小時。當所有保護服務(wù)器都被使用時。Blackhole同時，游戲服務(wù)器將不可用。

·防護服務(wù)器無明顯影響，或網(wǎng)絡(luò)效率略有下降。

·防護服務(wù)器流量過大，需要額外支付。

需要額外支付的情況通常不會發(fā)生。無論如何，您的游戲服務(wù)器不會直接受到攻擊，以避免家庭網(wǎng)絡(luò)癱瘓或游戲服務(wù)器供應(yīng)商停止為您服務(wù)。

相信一般自架游戲服務(wù)器的玩家不會進行BGP修改廣播能力DNS記錄又費時，因此，所有流量應(yīng)先經(jīng)過保護服務(wù)器，再到達游戲服務(wù)器。

Linux核心內(nèi)置GRE模組和iptables，用戶可以通過相關(guān)模塊建立連接游戲服務(wù)器G)以下簡稱保護服務(wù)器A,B,C...)的GRETunnel。這是設(shè)定GRETunnel的教學(xué)。

G與A,B,C連接成功后，需要設(shè)置DNSA記錄。

·你的域名是domain.tld

·A的IP是A.A.A.A

·B的IP是B.B.B.B

·C的IP是C.C.C.C

請于DNS新n個關(guān)于gre.domain.tld例如，

gre.domain.tld.300INAA.A.A.A

gre.domain.tld.300INAB.B.B.B

gre.domain.tld.300INAC.C.C.C

這是在實作Round-robinDNS假設(shè)玩家想要獲得技術(shù)gre.domain.tld的IP，玩家的電腦會隨意從A,B,C服務(wù)器的IP選擇一個。當服務(wù)器A不可用時，玩家可以重新組織并連接到B或BC服務(wù)器。

方法二

方法二基于方法一，并使用監(jiān)控服務(wù)器(M)所有防護服務(wù)器的可用性將被監(jiān)控。當防護服務(wù)器因攻擊或其他高原而不可用時，監(jiān)控服務(wù)器將自動以程序形式添加防護服務(wù)器并更新DNS記錄，希望盡量減少攻擊對游戲服務(wù)器可用性的影響。

監(jiān)控服務(wù)器和游戲服務(wù)器可以是同一個服務(wù)器。

與方法1相比，方法2增加了以下先決條件：

·所有服務(wù)器的網(wǎng)絡(luò)狀態(tài)都需要程序即時監(jiān)控。

·當防護服務(wù)器不能使用時，用戶需要程和相關(guān)API立即增減防護服務(wù)器。

·用戶需要程序和相關(guān)程序API更新DNS記錄。

主要邏輯如下：

1、M被動監(jiān)察A,B,C，A,B,C每隔一段時間自動向M報平安。

2、若A,B,C其中一臺服務(wù)器(如B)如果太久沒有向M報平安，M認定B為不可用。

3、M請求刪除服務(wù)器供應(yīng)商B，并要求服務(wù)器供應(yīng)商提供新的服務(wù)器D，取得D的IPD.D.D.D，并使G與D立即建立新的GRETunnel。

4、M更新DNS記錄，BA刪除記錄，添加新的DA記錄。

5、M還將對防護服務(wù)器的異常情況進行監(jiān)控，如成本或流量超過限制，則刪除服務(wù)器。