讨论,关于DDOS的一个解决办法!
当内网出现DDOS攻击的时候,流量巨大,可以达到30Mbps/s,在这种情况可抓包可以发现是同一个mac地址发出来的,不管它源地址是真的还是假的,都可以发现,所以我有下边的一个设想:如果我在内网交换机和路由器之间再加上一个透明的桥接防火墙,在bridge------filters-------添加一个新的转发规则,如下图所示的:
从而限制每个mac地址的每秒发包数,(至于这个包的数量以达到不影响正常应用,但又能做到减少攻击为目的)这样的话,会不会解决问题,或者说是缓解一下攻击的强度,对路由的压力降低一点,不至于一下子把路由器弄死!大家都谈一下自己的看法!
还有这个透明桥在这样大的流量攻击下会不会很快死掉,这也是我关心的事,不论怎么攻击最终的目的就是不想出现网络的中断!
请各位发表一下看法,不要骂我啊!
[ 本帖最后由 zbhdpx 于 2006-11-7 11:13 编辑 ] 呵呵````有没有高手看看可不可行啊! 桥先死掉了。无解。 请高手指点 最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的 我的硬件也不低,闪龙2500+ ,一般只用到10%左右,遇到syn攻击能达到40%-60%
遇到ddos攻击,有好几种,一种是tcp,cpu占用很少,但是带宽点用很厉害,
我看到过纪录,当时不在也不知道是哪种攻击流量达到40M/s,时间长达40分钟,路由没有死机。
但是那天我刚发殃攻击,只有20M的流量,还没有来的及处理,就死机了, DDOS怎么防不行三.量流大了,最终就搞你搞死了..
呵呵,一会儿我去升级一下ROS 2.935的测一下,是不是班主说的可以防
"最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的 原帖由 txwwy 于 2006-11-7 22:42 发表
最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的
内网的DDOS,用PPPOE可以解决吗,能说得详细一些吗?具体怎么样操作?用透明代理可以基于MAC地址限制发包量吗? 原帖由 gaopangzi 于 2006-11-7 17:36 发表
桥先死掉了。无解。
同意!! 原帖由 dhb365 于 2006-12-7 00:16 发表
内网的DDOS,用PPPOE可以解决吗,能说得详细一些吗?具体怎么样操作?用透明代理可以基于MAC地址限制发包量吗?
可以解决内网的,道理很简单,就是你可以随时把发病的机器踢下线,这样你的设备就不必处理那些DDOS包,也就安全了 原帖由 parphy 于 2006-12-7 09:56 发表
可以解决内网的,道理很简单,就是你可以随时把发病的机器踢下线,这样你的设备就不必处理那些DDOS包,也就安全了
好象你比他先下线了:lol 没用
limit 是个双刃剑,阻止 syn 的同时,你自己也无法访问那个服务
DoS 的目的就是拒绝服务
有的人说,我把进入 INPUT 进来的 TCP/80 的数据包全部 DROP 不就不会被攻击了吗?
错了,实际上你自己已经把自己“拒绝服务”了,根本不用人家出手 透明桥怎么做啊,有没有教程呢? 从楼主这忽然有个想法,网吧,锁定内网MAC,如发现攻击就在ARP那把那台机的MAC禁用一定时间不知效果如何(当然禁用时那台机会断网) 我感觉LZ的想法,也不是不可行。前面加的这个桥只是限制每秒的包数,并没有开任何服务,处理量应该不大,也就是说不会先死掉。当然这只是理论,我没有环境实验。
页:
[1]
2