如果您的客户担心 DDoS，那么请使用标准 Pen。测试不是要走的路。撇开这是否是一个有效的问题不谈，一种方法是考虑在站点上进行负载测试。有些公司将执行负载测试，以查看站点/服务器在变得不可用之前可以处理多少流量。这将使您了解它将如何应对重负载。显然，如果您进行此类测试，您应该通知并获得 Rackspace 的批准，这样他们就不会将其误解为攻击。:)

也就是说，一些 DDoS 攻击并不遵循与标准流量类似的模式（例如，使用 DNS 放大的攻击）。如果这是一个严重的问题，我建议您查看 DDoS 保护服务（例如 CloudFlare/Akamai），因为实际上在服务器上您可以做的事情不多，在大型攻击的情况下甚至可能是 ISP 级别。

如果 DDOS 攻击是问题，那么渗透测试将无助于预防或检测它。

在大多数情况下，DDOS 攻击不会造成比阻止用户访问网站/服务/等更大的损害。当请求持续淹没服务器的速度快于服务器的响应速度时，通常可以看到 DDOS。为了防止 DDOS 攻击，您需要安装某种监控系统，如果收到来自给定 IP 的过多请求，则会发出警报。简而言之。

话虽如此，对于一个为期 3 个月的竞赛网站，我不明白为什么有人会想要破坏该网站，而渗透测试总是很好执行。

在这种特定情况下，我不会只说它不好，我什至建议不要这样做。

DDoS 攻击需要大量的攻击者，在您的情况下，您的客户将有效地花钱请人攻击 Rackspace 的服务器。馊主意。

有关 DDoS 攻击的更多信息，请查看说明攻击性质的答案。

安全性几乎总是一种权衡。随着分配给安全性的价值上升，其他一些价值下降。

您通常注意到的第一个值是利润。您在安全性上花费的越多，您获得的安全性就越高，但最终获得的利润就越少。

在花费大量资金用于安全之前（请记住，时间就是金钱），您应该尝试一些风险分析。

确定 X 分钟的停机时间会给您的客户造成损失。确定完整的服务器妥协或部分妥协（例如只读数据库转储）的成本。这些成本可能包括超出这三个月促销活动的声誉损失。

下一步很难获得准确的数字。尝试猜测上述任何一种情况的可能性有多大。与您的客户讨论这一点，因为他们可能已经收到了威胁或勒索尝试，您应该将其考虑在内。您可能应该包括由于非恶意 DDoS（也称为病毒式传播）而导致的停机时间，因为缓解策略是相似的，而且您在本应赚到最多钱的情况下处于停机状态这一事实尤其令人痛苦。

一旦你知道你的预期损失，你就可以花费金钱和时间来试图减轻它们。

DDoS 和渗透测试是完全不同的东西。对于 DDoS 保护，最明智的做法是使用旨在阻止它的服务。像 Verisign 和 Prolexic 这样的公司提供的服务除了过滤 DDoS 攻击之外什么都不做。CloudFlare 之类的公司提供缓存和 CDN 分发服务，可以让您的网站更快并提供更多容量，并且恰好包括 DDoS 保护。

准备妥协尝试有两件事要做：

1. 尽可能保护您的网站。
2. 准备好如果/当您确实受到威胁时会发生什么。

你绝对应该尝试自己做一些简单的渗透测试。获取免费的自动网络扫描仪之一，并在它上线之前在您的网站上运行它。这将找到简单的漏洞，并允许您在使用第三方渗透测试人员的服务之前自行修复它们（如果您确定它们值得付出代价）。他们应该找到的不仅仅是自动扫描仪所做的。

为了准备妥协，你应该：

1. 足够的监控以确定您已被入侵。AIDE/Tripewire/OSSEC 是很好的工具。
2. 定期备份和如何从它们重新安装的经过测试的计划。测试您的备份很重要。我无法告诉您第一次从备份恢复测试失败的次数有多少。
3. 足够的日志来确定入侵者是如何进入的。你必须知道这一点并修复漏洞，否则他会直接回来。
4. 潜在的备用机器，当主要机器受到损害时可以更换。有时您不想擦除受感染的机器，因为它们保存了您是如何受到攻击的证据，但您不能让它们在线，您必须保持网站正常运行。这就是备用机器的用途。