iT邦幫忙

0

詢問~IT業界最有效阻擋DDOS的"軟體防火牆"~請提供有效的建議~感謝

詢問~IT業界最有效阻擋DDOS的"軟體防火牆"~請提供有效的建議~感謝

8
u8526425
iT邦大師 1 級 ‧ 2014-08-20 13:10:46

參考案例
http://www.ithome.com.tw/news/90246

真的遇到類似流量爆衝狀況
單靠防火牆是無法對應

看來CloudFlare也只能擋一陣子,不能擋一輩子。^^"

0
門神JanusLin
iT邦超人 1 級 ‧ 2014-08-21 08:37:04

300元有找
請源頭的中華資安鑑隊直接幫你擋 ^^

新二君 iT邦新手 2 級 ‧ 2021-02-20 15:13:03 檢舉

花錢可解決沒問題,是怕花錢該擋不擋,擋了不該擋的。

0
poiu124pat
iT邦新手 2 級 ‧ 2014-08-21 14:11:50

所謂的硬體防火牆是因為裡面有所謂的NPU硬體晶片可以做加速處理(如FortiASIC CP6),否則那種防火牆的效能也是和專業型的軟體防火牆沒有差很多,一台防火牆的CPU頂多賽揚1G,沒有NPU效能可以好到什麼地方去..
軟體防火牆最終還是得要考量到網卡的身上,還要搭配整體硬體,更別說專業的防火牆軟體,這些東西加總起來,不見得會比硬體防火牆還要來的低成本。

以我前一陣子面對DNS DDOS FLOOD的經驗,要處理DDOS是沒辦法單靠防火牆,他需要的是整體的解決方案,依照每一次的CASE去處理。

2
mytiny
iT邦大師 1 級 ‧ 2014-08-22 00:41:11

ㄟ..為什麼大家都認為防火牆可以擋DDoS攻擊??無言
我記得防火牆甚至是UTM是拿來擋"惡意"的網路攻擊
這個好像與DDoS的行為模式有很大的差別耶
分散式阻斷服務基本上是一種合法的網路行為
只是它的網路活動數量超過系統或設備的負荷能力
NGFW與UTM應該是無能力阻止它的,
因為它的作用不在於此

版大問到軟體防火牆它的功能只能到設定某些門檻值
多出來的把它踢掉(Forti有隱藏性指令可封鎖IP),問題是
如果它來十萬次,一百萬次,持續好幾天
你還能踢掉它嗎?系統自己就累死了
至於找上"資X艦隊"也不是說說就好
你還得提供它IP與相關資訊
當攻擊發生時,也不知你抽不抽得出空去搞那些東東

建議還是找專門處理DDoS的設備吧
至少在某種流量程度內,它還是同時有運用到軟硬體的能力
況且也有不同的網路演算方式驗證流量內容
好歹會有一定的效果,就是價錢貴了點
希望這算"有效"的建議
汗

DDOS攻擊不見得都是合法的流量..

TCP SNY FLOOD 就是非法的流量,DNS FLOOD也是有非法的流量,防火牆本身就可以過濾這樣的資料,但是有時候某些狀況設備建立這樣的資料與處理需要一點時間,去判斷這封包是否為合法,是否要允許通過,這都加重了設備的負載。
既然稱為DDOS,就表示有一定的流量,而流量超過負載導致被攻擊端無法負荷,這就是DDOS主要攻擊的目的!然而同時需要愈多的演算與愈多種樣式的攻擊方式,對攻擊方來說成本愈高,但防守端的防禦成本也就愈高,也就是說,DDOS的攻擊概念其實與封包內容是否合法是沒有什麼相關聯的。

另外,『UTM』不是只能拿來擋『惡意的網路攻擊』,那是他的功能之一,擋『惡意的網路攻擊』是『UTM』中的『IPS』功能。

mytiny iT邦大師 1 級 ‧ 2014-08-23 02:34:32 檢舉

tcp_syn_flood或DNS_flood要如何判斷它是非法的流量??
無論是不是自動判別,在設的Threshold值以上的叫非法,
那在Threshold值以下放其通過的的就是合法的嗎?
事實上我們只能說DDoS的某些"行為意圖"是惡意的
卻沒法說清楚這些"網路通訊的運作"是非法
畢竟防火牆已經是"允許"這些網路通訊
更也沒法將Threshold值設為0,完全禁止
因此小小才說NGFW與UTM是無能力阻止它的
況且DDoS在第七層攻擊也未必需要有一定的流量就可以達到目的
近期的DDoS"攻擊"是多樣而複雜的,且成本未必會高。

相對於firewall的功能或IPS的功能,以運作方式來說
是以封閉掉那些我們不想開放的網路服務或網路行為
如果硬要進來我們可以擋掉,稱之"擋惡意的網路攻擊"
這與開放網路服務或通訊後,再限制"門檻"多少
是完全不同的兩個概念。

小小還是認為只要對於DDoS的防禦
NGFW或UTM是沒法發揮作用的
至少這兩項在被Gartner與IDC定義裡是完全沒提到DDoS的

我先舉一個Forti的例子
http://www.fortinet.com.tw/promo/promo-FortiDDos.html

FortiDDoS是採用100%硬體ASIC方式對抗DDoS攻擊的產品,進而減少了CPU或CPU/ASIC混合模式系統風險的唯一一家公司。第二代的FortiASIC-TP2晶片提供檢測所有Layer-3,Layer-4和Layer-7 DDoS攻擊流量以及清除的動作。

他是利用行為模式去判斷這些封包是否為非法的流量,如果是非法的流量,就將其阻擋。但就我目前使用FortiGate的感覺,好像真的DDOS的攻擊狀況沒有以前那麼嚴重。

不過,這些判斷都是需要利用硬體晶片去計算,畢竟他是採取行為模式判斷,即使是有硬體加速的方式只要遇到真的非常大量的攻擊還是撐不住,軟體運算就更不用說了。而且電腦比不上人腦....

我之前有蒐集過一些資料,有一些業者也是有類似的產品,不過我也是沒有實際去測試過其他業者的產品是什麼狀況。我還有聽過其他業者有更多不一樣的方案,但那些都是必須要硬體+業者的整體搭配,沒有聽過有在用單一軟體防火牆就可以阻擋DDOS的。

倒是有用一台NB、PC來對付DDOS的啦........哈哈

2
souda
iT邦好手 1 級 ‧ 2014-08-23 23:25:26

市面上的防火牆都有它的優缺點,DDOS雖然是個古老的技術,但遇到無防護的設備它也可以要人命的.
1.小弟淺見內對外的端口(PORT)逐一開放並記錄.
2.主機和使用者要分別授予規則進出.
3.盡量已有支援UTM功能為首選.
4.網斷需隔開(VLAN)搭配L3/L2作間隔.

以上請參考不足地方請指教.

0
yesongow
iT邦大師 1 級 ‧ 2014-08-24 09:34:29

最有效阻擋DDOS的"軟體防火牆"

現在還有聽過check point嗎?
還是沒有人在使用check point嗎?

我要發表回答

立即登入回答