找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 6993|回复: 17

[其它] 讨论,关于DDOS的一个解决办法!

[复制链接]
发表于 2006-11-7 11:08:43 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
当内网出现DDOS攻击的时候,流量巨大,可以达到30Mbps/s,在这种情况可抓包可以发现是同一个mac地址发出来的,不管它源地址是真的还是假的,都可以发现,所以我有下边的一个设想:
   如果我在内网交换机和路由器之间再加上一个透明的桥接防火墙,在bridge------filters-------添加一个新的转发规则,如下图所示的:
1.JPG
2.JPG

从而限制每个mac地址的每秒发包数,(至于这个包的数量以达到不影响正常应用,但又能做到减少攻击为目的)这样的话,会不会解决问题,或者说是缓解一下攻击的强度,对路由的压力降低一点,不至于一下子把路由器弄死!大家都谈一下自己的看法!

还有这个透明桥在这样大的流量攻击下会不会很快死掉,这也是我关心的事,不论怎么攻击最终的目的就是不想出现网络的中断!

请各位发表一下看法,不要骂我啊!

[ 本帖最后由 zbhdpx 于 2006-11-7 11:13 编辑 ]
routeros
发表于 2006-11-7 14:49:41 | 显示全部楼层
呵呵````有没有高手看看可不可行啊!
routeros
回复

使用道具 举报

发表于 2006-11-7 17:36:56 | 显示全部楼层
桥先死掉了。无解。
routeros
回复

使用道具 举报

发表于 2006-11-7 22:40:01 | 显示全部楼层
请高手指点
routeros
回复

使用道具 举报

发表于 2006-11-7 22:42:50 | 显示全部楼层
最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的
routeros
回复

使用道具 举报

 楼主| 发表于 2006-11-8 11:17:54 | 显示全部楼层
我的硬件也不低,闪龙2500+ ,一般只用到10%左右,遇到syn攻击能达到40%-60%
遇到ddos攻击,有好几种,一种是tcp,cpu占用很少,但是带宽点用很厉害,
我看到过纪录,当时不在也不知道是哪种攻击流量达到40M/s,时间长达40分钟,路由没有死机。
但是那天我刚发殃攻击,只有20M的流量,还没有来的及处理,就死机了,
routeros
回复

使用道具 举报

发表于 2006-11-8 14:48:42 | 显示全部楼层
DDOS怎么防不行三.量流大了,最终就搞你搞死了..

呵呵,一会儿我去升级一下ROS 2.935的测一下,是不是班主说的可以防
"最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的
routeros
回复

使用道具 举报

发表于 2006-12-7 00:16:36 | 显示全部楼层
原帖由 txwwy 于 2006-11-7 22:42 发表
最新的2.935 ,在高配置下可以防御40M 左右攻击,对于内网的DDOS,你可采用PPPOE解决,在ROS 的设置上优化,对于DDOS 防御基本是没有大的用处的

内网的DDOS,用PPPOE可以解决吗,能说得详细一些吗?具体怎么样操作?用透明代理可以基于MAC地址限制发包量吗?
routeros
回复

使用道具 举报

发表于 2006-12-7 09:54:56 | 显示全部楼层
原帖由 gaopangzi 于 2006-11-7 17:36 发表
桥先死掉了。无解。

同意!!
routeros
回复

使用道具 举报

发表于 2006-12-7 09:56:45 | 显示全部楼层
原帖由 dhb365 于 2006-12-7 00:16 发表

内网的DDOS,用PPPOE可以解决吗,能说得详细一些吗?具体怎么样操作?用透明代理可以基于MAC地址限制发包量吗?


可以解决内网的,道理很简单,就是你可以随时把发病的机器踢下线,这样你的设备就不必处理那些DDOS包,也就安全了
routeros
回复

使用道具 举报

发表于 2006-12-7 10:28:24 | 显示全部楼层
原帖由 parphy 于 2006-12-7 09:56 发表


可以解决内网的,道理很简单,就是你可以随时把发病的机器踢下线,这样你的设备就不必处理那些DDOS包,也就安全了


好象你比他先下线了
routeros
回复

使用道具 举报

发表于 2006-12-7 10:57:27 | 显示全部楼层
没用
limit 是个双刃剑,阻止 syn 的同时,你自己也无法访问那个服务
DoS 的目的就是拒绝服务
有的人说,我把进入 INPUT 进来的 TCP/80 的数据包全部 DROP 不就不会被攻击了吗?
错了,实际上你自己已经把自己“拒绝服务”了,根本不用人家出手
routeros
回复

使用道具 举报

发表于 2006-12-7 13:32:20 | 显示全部楼层
透明桥怎么做啊,有没有教程呢?
routeros
回复

使用道具 举报

发表于 2006-12-8 15:36:21 | 显示全部楼层
从楼主这忽然有个想法,网吧,锁定内网MAC,如发现攻击就在ARP那把那台机的MAC禁用一定时间不知效果如何(当然禁用时那台机会断网)
routeros
回复

使用道具 举报

发表于 2006-12-8 15:43:33 | 显示全部楼层
我感觉LZ的想法,也不是不可行。前面加的这个桥只是限制每秒的包数,并没有开任何服务,处理量应该不大,也就是说不会先死掉。当然这只是理论,我没有环境实验。
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-22 18:21 , Processed in 0.065445 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表