当我购买新服务器时,我很快就会改变我的基础设施。我将使用我的旧服务器硬件(Intel Atom 330、1GB 内存、Intel Pro Server MT 双千兆网卡)将我的 D-Link DIR-655 路由器替换为 pFsense 路由器(可能将 655 用作 AP)。我的新服务器将基于 SandyBridge 并运行 Apache+Samba。
现在,当我在家里设置这个新的基础设施时,我想尝试 DDoS 保护,我知道 apache 有一些模块和东西可以让我这样做,但由于我将拥有一个基于 BSD 的路由器,所以最好的解决方案似乎已经在路由器中设置了一些东西,从而减轻了路由器后面的网络硬件的压力。
所以基本上,有了这些背景信息,我想问一下我该如何设置这样的配置,这是否是最好的解决方案?
在 pFsense 中设置 DDoS 保护是否明智,还是应该由 Web 服务器来处理?人们会认为最好尽早放弃这些软件包。
尽管我可能不会受到 DDoS 攻击,但安全总比后悔好。
编辑:我知道我的服务器可能无法应对严重的 DDoS 攻击,但通过最大限度地提高保护,使我的基础设施能够应对比没有保护时稍微大一点的攻击,我可能能够阻止一些使用较小“僵尸网络”的脚本小子破坏服务器。所以我想做的是尽可能在软件方面提供良好的保护。
即使与软件无关,我只使用 Intel Pro Server 网卡的事实也应该会提高我的成功率,因为它们消耗的 CPU 功率比受感染系统中的普通 Realtek 网卡要少。我不希望有人仅仅因为配置不正确就搞垮我的系统。但如前所述,我很可能永远不会受到这样的攻击,这主要是因为我想尝试我的选择。
答案1
你并没有真正从自己这边保护自己免受 DDOS 攻击。你识别流量并与你的 ISP 协调,在它进入你的链接之前阻止它。如果你必须从你这边阻止它,那么你已经输了,因为你的管已经堵塞(数据包必须先到达你的 FW 才能被丢弃)。
能够抵御 DDOS 攻击的是真的像亚马逊这样的大公司拥有庞大的连接和弹性的云基础设施来满足请求(而且他们在这样做的同时还与各个 ISP 协调以阻止流量,正如我上面所说的那样)。
答案2
pFsense 或 Apache 都不是真正有效的 DDoS 缓解工具。从您的评论中我可以看出您确实有一个大管道。那 + 速率限制是一个非常有效的策略。我建议看看像 Toplayer 这样的商业工具(http://www.toplayer.com我希望开源领域能有所作为,但目前我认为还没有任何可用的东西。
答案3
嗯,这取决于你想保护自己免受什么攻击。使用 PFSense 无法阻止家庭连接上的任何大型 DDoS 攻击。你的家庭连接根本没有足够的带宽来抵御这种攻击。你的整个连接很容易饱和,到那时,无论你使用哪种路由器都无关紧要。
您可能可以做的是将 PFsense 设置为限制每个远程 IP 到端口 80 的连接速率。这将有助于应对某些类型的攻击,尽管它远非全面。
答案4
为了回答你的问题(pfsense 或 apache),我将忽略所有其他正确的答案(您不应该尝试在您的终端网络中阻止 DDoS,而应该在您的 ISP 主干网中阻止)。
假设您担心 SYN 洪水(DDoS 有很多变体,假设所有变体都会使这个答案变得很长而且主观)。
我会担心在我的 pfsense 中阻止它。这是因为在您的 apache 守护进程中,即使您可以拥有 DDoS 保护(再次说明,我没有进入您是否应该拥有的问题,但它有一些模块 - 您也可以调查 mod_evasive,在漏洞利用的情况下,mod_security - 尝试防御它),它会在比 pfsense 更高的级别发生。尽量简单一点:对于 apache,它发生在“套接字”级别,而不是像 pfsense 那样发生在“数据包”级别。如果我们考虑性能,这种差异确实很重要。两种解决方案(pfsense + mod_*)的组合也是为您的服务器提供额外生命的好选择。