AKSN74 wrote:
這樣感覺你被攻擊的...(恕刪)
我查了一下RouterOS的設定...
這我可能會搞三個月才會用啊....XD
FortiGate-80C 這顆Router推薦嗎?
Dr.Ferrari wrote:
沒猜錯的話可能是開天...(恕刪)
不是天堂喔...是麥塊Minecraft
也不是DDoS 純粹DoS而已
個人積分:0分
文章編號:56138901
個人積分:67分
文章編號:56139340
個人積分:271分
文章編號:56139532
個人積分:58分
文章編號:56139795
個人積分:271分
文章編號:56140131
個人積分:405分
文章編號:56140202
ru8zj312 wrote:
我查了一下RouterOS...(恕刪)
FortiOS具有各種DDoS防護的方法..
但是80C使用的是Celeron@600MHz+CP6(low)架構
DoS attack探測主要分為:
1. anonamly attack
2. signature-based attack
#1和#2的traffic loading都會經過CPU, 但是#2需要透過IPS進行相關的內容探測, 這時會透過CP6加速器來加速.
#1的DoS sensor階段會先於#2的IPS sensor階段. 最主要的還是#1
遭遇大量的DoS攻擊的話, FGT80C也不好應付(Celeron@600MHz的CPU不能要求太多)
要改善對DoS/DDoS attack的負載能力:
1. 使用多CPU的防護機種, 例如某些機種配置了Xeon E3-1225v3@3.2GHz(500D)的x86 CPU. 直接硬幹(#1).
2. 部分加速機種, 能加快DoS比對速度(#2), 例如配置CP8(FPGA)加速器, 甚至使用多核CP8加速結構的機種, 大幅改善.
3. 應用NPU機種, 啟用NP2/4/6專屬的針對#1的攻擊防護, 完全不會經過CPU, 由高速的ASIC直接幹掉, 最高效率/效能, 被引入到NPU的#1 traffic難以對NPU(啟用DoS防護)機種造成影響, 因為packet很快就會被drop掉,
例如NP6加速器提供了IPv4/v6的DoS/DDoS防護. 一顆內部頻寬40Gbps.
4. 使用特製化的ASIC/FPGA加速器(SP), 可將所有traffic被offload到該加速器, 該ASIC會進行有關的安全偵測, 包括DoS/DDoS防護, CPU同樣大幅免於受到危害.
效能: #3> #2(*多CP架構)>> #4> #2> #1
成本: #4> #3> #2> #1
個人積分:1665分
文章編號:56140318
個人積分:0分
文章編號:56140600
個人積分:0分
文章編號:56149460
個人積分:148分
文章編號:56149950
我的IP沒有提供對外服務所以相對問題簡單。是在想,有沒有人嘗試做所謂 DDOS 的反制,就是看到某個IP 常常‘來犯’,就給他ping flood 回去。
前幾天簡單做了些試驗,手動的hping3 --flood 連續一個小時,只佔了我8M 的頻寬也沒差。對付了幾個對岸的一個小時後就沒再看到了。。
基本上做個script 從firewall logs 裡抓出來再flood 回去應該不難,有人這麼做?
