iT邦幫忙

0

在iThome看到 加大頻寬 可舒緩DDoS攻擊?

在iThome標題<知名遊戲論壇網站遭中國不肖業者以DDoS攻擊勒贖>文章中看到一個整理表格,其中提到 加大頻寬 可舒緩DDoS攻擊,不知各位先進是否能提供一下,要加到多大的頻寬可以減緩DDOS 每秒200萬個詢問?

看更多先前的討論...收起先前的討論...
john651216 iT邦研究生 1 級 ‧ 2008-05-05 18:26:17 檢舉
謝謝大家的解釋
魯大 iT邦高手 1 級 ‧ 2008-05-05 19:23:14 檢舉
頻寬故然重要
不過,受到DDoS攻擊時,那真的是令人不悅..
魯大 iT邦高手 1 級 ‧ 2008-05-06 19:55:59 檢舉
目前市面上的UTM應該也有應對的功能
只是不知是否好用..
應該也是擋不住吧..
john651216 iT邦研究生 1 級 ‧ 2008-05-08 17:46:51 檢舉
IThome有介紹應該主要不是以加大頻寬,應該是以ISP和硬體設備著手
skite iT邦大師 5 級 ‧ 2008-05-08 17:58:00 檢舉
加大頻寬感覺是治標不治本,而且標也不一定治得好…
davistai iT邦大師 1 級 ‧ 2008-05-11 07:38:48 檢舉
不錯,謝謝大家的答案分享^^
funkent iT邦高手 1 級 ‧ 2008-05-18 20:06:16 檢舉
中DDoS攻擊第一時要如何發現阿
62
netghost0327
iT邦新手 4 級 ‧ 2008-05-05 16:55:58
最佳解答

加大頻寬只能讓貴公司網站可連結的頻寬變大,避免因為DDos把頻寬占滿而無法正常對外服務,但根本無效,因為絕大部份的DDos所送的封包都很小,目標是把server網卡上的tcp windows size消耗完,讓server網卡無法正常回應連線要求,嚴重時,可讓整台機器當機,所以不論你有多大頻寬都沒有用,因為機器已經死了。有時你的server可能還沒有死,但你的網路設備先死了,網路宣告斷線.....唯一可行的方法是,用有效的設備如,IPS直接阻止DDos的攻擊,但要注意的是...如果DDos很強,IPS設備也有可能會被打死....

36
john651216
iT邦研究生 1 級 ‧ 2008-05-05 16:41:08

應該沒有辦法減緩DDos的攻擊

38
魯大
iT邦高手 1 級 ‧ 2008-05-05 17:31:35

想反制DDOS攻擊,這樣的方式是不行的
你的頻寬再怎麼的大
也是比不過同時從各地而來的DDOS攻擊

你覺得你把水溝挖得再深再寬,有可能擋得住暴風雨所帶來的雨水量
正所謂雙拳難敵猴群..

lcs1206 iT邦研究生 1 級 ‧ 2008-05-05 21:12:57 檢舉

應該是"雙拳難敵四掌,猛虎難敵猴群"吧

魯大 iT邦高手 1 級 ‧ 2008-05-06 13:41:05 檢舉

小弟才疏學淺
感謝指教

48
funkent
iT邦高手 1 級 ‧ 2008-05-05 21:42:10

加大頻寬並不是真正解決之道,請參考下列方法

User and System Administrator Actions
1.建議安裝個人式的防火牆軟體,幫助系統抵禦阻絕大部分的網路攻擊。
2.定期查看系統Log File是否有無可疑的紀錄。
3.使用可得的工具定期查看系統、伺服器等,確定無被植入可疑程式對使用者帳戶資料庫存取等未知的改變。
4.避免下載來路不明的軟體,以避免被植入後門或感染病毒。
5.定期注意CERT、SANS、TruSecure(ICSA)及相關防毒公司所發佈之消息

Local Network Actions
1.Router在連接外部Internet的Interface應設定條件過濾的機制。
2.關閉Router直接Broadcast的能力。
3.RFC1918明確定義Private IP Addresses無法在Internet進行路由。

42
lcs1206
iT邦研究生 1 級 ‧ 2008-05-05 22:04:46

基本上,DDoS攻擊,要談反制,難度很高(除了較早期的方式,request Head 不大完整,或許可依特定模式攔截外,現在的模式,它也是正常的request,不過發出需求的點/流量大到嚇死人而已)!

加大頻寬算是治標的方案之一,僅能加大伺服器可用通訊資源,避免DDoS吃光通訊資源而不能進行通訊服務.正如同netghost0327網友所提,目前絕大部份DDoS設計的封包都完整且體積小,其目的在吃光server網卡上的Buffer,讓網卡無從回應連線要求(Buffer crash),順帶讓機器/OS crash,縱有頻寬亦無意義(Server無法提供服務).在設備多層分工模式下,前端網路設備亦可能因不堪負荷crash,一樣無法對外提供服務.

可行解:
1.加大頻寬(必需搭配以下一或多種方案)
2.和ISP租用DDoS Migration 服務
3.部署IPS及L4交換器
4.採購內建阻絕DDoS功能模組的流量處理設備
5.Server升級(針對網路處理效率,例如更換網路卡...)

我要發表回答

立即登入回答