Это со мной не случится.
Большинство инженеров по безопасности сетей только слышали о DDoS-атаках на кого-то другого. Они думают, что у них нет врагов. Однако их представления о риске и реальность очень часто не совпадают. Если вы представлены в веб, вы можете быть легко атакованы, иногда даже по ошибке.
Модуль Apache мне поможет.
Большинство инженеров по безопасности сетей думают, что могут собрать ядро, установить некоторые опции в Apache, установить mod_dosevasive и все будет в безопасности. В реальности большинство серверов не имеют возможности для обработки DDoS атак. Даже при атаке средних размеров, сервер будет слишком перегружен, чтобы дать шанс модулю Apache.
Iptables имеет модули для DDoS.
Большинство инженеров по безопасности сетей считают, что простые команды Iptables могут блокировать DDoS-атаки. В реальности Iptables может блокировать крошечные атаки и небольшой процент DDoS-атак. Настоящие DDoS-атаки требуют специального оборудования, потому что CPU, на котором работает Iptables, будет слишком занят обработкой пакетов атаки.
Web-хостинг позаботится обо мне.
Большинство инженеров по безопасности сетей считают, что их хостинг будет заботиться о DDoS-атаках. На самом деле большинство хостингов просто закрывают доступ к IP атакуемого домена, если у них нет специального оборудования. Большинство хостингов не имеют возможности (специалистов, времени), чтобы вручную решать подобные проблемы.
ISP будет сотрудничать.
Большинство инженеров по безопасности сетей считают, что их провайдеры, через которых подключён центр обработки данных с веб-хостингом будут сотрудничать при атаке и помогут найти источник. В реальности большинство провайдеров слишком заняты. Они имеют строгую бюрократическую процедуру для взаимодействия друг с другом. Время ответа интернет провайдеров — дни, даже не часы — тогда как вы хотите, чтобы решение было моментально!
Я могу сообщить правоохранительным органам.
Большинство инженеров по безопасности сетей считают, что при атаке, они могут сообщить правоохранительным органам для решения этой проблемы. В реальности: большинство департаментов правоохранительных органов не будет беспокоиться об иголке в стоге сена атак. Пока вы не важны, и атака идёт со скоростью менее 10 гигабит в секунду, не теряйте время — их и своё.
Я знаю ACL, чтобы заблокировать атаку.
Большинство инженеров по безопасности сетей думают, что могут составить списки управления доступом на маршрутизаторах и коммутаторах для блокирования атак. В реальности: откройте глаза! DDoS-атаки меняют цели, а хакеры умны, их инструменты умны и методы изощренные.
DDoS-атака может забить канал.
Большинство людей думают, что DDoS атаки могут забить их каналы, и, если да, какой смысл в покупке какого-либо специализированного оборудования. На самом деле: сегодня 90% атак до 1 Гбит. Будет лучше иметь решение DDoS-защиты, чем не иметь ничего.
DDoS-защита — маркетинговый миф.
Некоторые думают, что о DDoS-защите можно только мечтать. В реальности: убытки от самых сложных атак могут быть уменьшены при использовании специализированного оборудования. Без DDoS-защиты, серверы будут подвержены даже самым обычным атакам.
DDoS-защита дорогостоящая
Некоторые думают, что DDoS-защита слишком дорога. В реальности: расходы на защиту от DDoS пропорциональны числу линков, пропускной способности, сложности политик и типу атак. Есть экономически-оправданные решения, которые являются эффективными.