Sec*_*eek 0 security linux iptables ddos
我有一些关于 ddos 攻击以及它是如何工作的问题,我真的需要一些好的解释,因为我找不到任何可以帮助我的好的参考。
PPS(每秒数据包数)和 MBPS 之间有什么关系,如果甚至数据包被防火墙丢弃,像 500k/秒这样的大量 pps 是否会导致 ddos?
像 syn/udp flood 这样的 ddos 是否只能通过 iptables 来完全缓解,并且 iptables 可以处理任何类型的 ddos 就其强度和速度而言,也可以安装在被攻击的同一台服务器上的 iptables 处理大量 pps 并在不丢弃它们的情况下任何问题或对性能的影响?
对于同步洪水,大多数人建议使用同步饼干作为缓解同步洪水的完美解决方案,但不幸的是尝试它并没有帮助,为什么?syn cookie 是否有限制或需要在服务器上像文件描述符一样进行调整?
将服务器上的网卡从 100mbit 升级到 1gbps 可以帮助更多地缓解 ddos 攻击还是没有效果?
注意:我的意思是在这种情况下只升级网络接口但网络速度仍然相同
你必须在这里更具体。有几种方法可以执行 (D)DoS:
a) “应用程序 DoS”(不知道是否存在正确的名称),是网络可以处理流量的地方,但应用程序服务器不能。也就是说,传入流量低于网络速度,但请求数量高于应用程序服务器可以处理的数量。(或您的代理,或攻击者正在连接的任何东西)
在这种情况下,是的(问题 1),数据包数量越大,过滤/丢弃它们的负载就越高。但通常如果有简单的规则(在特定数量的并发连接后丢弃数据包),大多数防火墙可以以线速工作。如果您有更复杂的规则(L4、L7...),并且规则数量很多,则大量数据包会产生足够高的负载,防火墙会丢弃所有未进入缓冲区的数据包(因为它被填满了)。
对于 iptables(问题 2),它是一样的。如果只有一个 DROP 规则,它可以在处理大量数据包时正常工作。如果您使规则更复杂,负载就会增加,无论规则是什么,内核都会开始丢弃数据包。
Syncookies(问题 3),可以很好地处理 Syn floods,因为系统不需要为连接保留一些资源。如果僵尸网络计算机以 ack 响应 syn/ack,则进行握手,并保留和使用资源。这取决于您用什么测试了 syncookie。
升级网卡(问题 4)取决于网络/互联网提供商。如果您有 20/20mbit 线路,那么您拥有 100mbit 或 1gig 卡都没有关系,因为您受到 ISP 的限制。如果你有 200mbit 的线路,拥有一张千兆卡会有很大帮助(但为什么你会有一张 100mbit 的卡和 200mbit 的付费服务??)。
b) (D)DoS 攻击流量大于您的网络/互联网连接速度。这是攻击者向您发送的流量(无论是 tcp、udp、icmp 等)超过您的网络连接可以处理的流量的时候。如果发生这种情况,您基本上就完蛋了,您(!)无能为力。您当然可以致电您的 ISP,并安排他们为您设置防火墙(仅允许来自您所在国家/地区的连接等),如果他们可以这样做并且您负担得起的话。
DDoSing 的计算机数量在理论上无关。如果您有 10 兆位的线路,并且如果攻击者发送 100 兆位的 UDP 流量,则您的连接“停止工作”。流量是来自 1 台 100mbit 线路的 pc,还是来自 100 台 1mbit 线路的流量都没有关系。但是对于您的 ISP 来说,阻止 1 个 ip 比阻止 100、1000 或数百万个不同的 IP 容易得多,而且更难知道哪些流量是合法的(人们想要您的服务),哪些是恶意攻击流量。
| 归档时间: |
|
| 查看次数: |
1038 次 |
| 最近记录: |