讨论，关于DDOS的一个解决办法！

zbhdpx

当内网出现DDOS攻击的时候，流量巨大，可以达到30Mbps/s，在这种情况可抓包可以发现是同一个mac地址发出来的，不管它源地址是真的还是假的，都可以发现，所以我有下边的一个设想：
   如果我在内网交换机和路由器之间再加上一个透明的桥接防火墙，在bridge------filters-------添加一个新的转发规则，如下图所示的：



从而限制每个mac地址的每秒发包数，（至于这个包的数量以达到不影响正常应用，但又能做到减少攻击为目的）这样的话，会不会解决问题，或者说是缓解一下攻击的强度，对路由的压力降低一点，不至于一下子把路由器弄死！大家都谈一下自己的看法！

还有这个透明桥在这样大的流量攻击下会不会很快死掉，这也是我关心的事，不论怎么攻击最终的目的就是不想出现网络的中断！

请各位发表一下看法，不要骂我啊！

[ 本帖最后由 zbhdpx 于 2006-11-7 11:13 编辑 ]

wxdmx

呵呵````有没有高手看看可不可行啊！

gaopangzi

桥先死掉了。无解。

啊信

请高手指点

txwwy

最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的

zbhdpx

我的硬件也不低，闪龙2500+ ，一般只用到10%左右，遇到syn攻击能达到40%-60%
遇到ddos攻击，有好几种，一种是tcp,cpu占用很少，但是带宽点用很厉害，
我看到过纪录，当时不在也不知道是哪种攻击流量达到40M/s，时间长达40分钟，路由没有死机。
但是那天我刚发殃攻击，只有20M的流量，还没有来的及处理，就死机了，

luiwendi0329

DDOS怎么防不行三.量流大了,最终就搞你搞死了..

呵呵,一会儿我去升级一下ROS 2.935的测一下,是不是班主说的可以防
"最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的

dhb365

原帖由 txwwy 于 2006-11-7 22:42 发表
最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的

内网的DDOS，用PPPOE可以解决吗，能说得详细一些吗？具体怎么样操作？用透明代理可以基于MAC地址限制发包量吗？

parphy

原帖由 gaopangzi 于 2006-11-7 17:36 发表
桥先死掉了。无解。

同意！！

parphy

原帖由 dhb365 于 2006-12-7 00:16 发表

内网的DDOS，用PPPOE可以解决吗，能说得详细一些吗？具体怎么样操作？用透明代理可以基于MAC地址限制发包量吗？

可以解决内网的，道理很简单，就是你可以随时把发病的机器踢下线，这样你的设备就不必处理那些DDOS包，也就安全了

9939781

原帖由 parphy 于 2006-12-7 09:56 发表


可以解决内网的，道理很简单，就是你可以随时把发病的机器踢下线，这样你的设备就不必处理那些DDOS包，也就安全了

好象你比他先下线了

platinum

没用
limit 是个双刃剑，阻止 syn 的同时，你自己也无法访问那个服务
DoS 的目的就是拒绝服务
有的人说，我把进入 INPUT 进来的 TCP/80 的数据包全部 DROP 不就不会被攻击了吗？
错了，实际上你自己已经把自己“拒绝服务”了，根本不用人家出手

dhb365

透明桥怎么做啊，有没有教程呢？

qikeemail

从楼主这忽然有个想法,网吧,锁定内网MAC,如发现攻击就在ARP那把那台机的MAC禁用一定时间不知效果如何(当然禁用时那台机会断网)

ssffzz1

我感觉LZ的想法，也不是不可行。前面加的这个桥只是限制每秒的包数，并没有开任何服务，处理量应该不大，也就是说不会先死掉。当然这只是理论，我没有环境实验。