当我购买新的服务器时,我很快就会改变我的基础设施。 我将用我的旧服务器硬件(Intel Atom 330,1GB RAM,英特尔Pro服务器MT双千兆网卡)replace我的D-Link DIR-655路由器与pFsense路由器(也许使用655作为AP)。 我的新服务器将基于SandyBridge并运行Apache + Samba。
现在,当我在家里build立这个新的基础设施时,我想尝试DDoS保护,我知道有一些模块和apache的东西让我这样做,但由于我将有一个基于BSD的路由器最好的解决scheme似乎在路由器中设置了一些东西,从而减less了路由器后面的networking硬件。
所以基本上这些背景信息我想问一下,我将如何build立这样一个configuration,是否是最好的解决scheme?
在pFsense中设置DDoS保护是否明智或者Web服务器应该如何处理? 有人会认为尽可能早地放下包装是最好的。
即使我可能不会受到DDoS攻击,最好是安全,然后抱歉。
编辑:我明白,我的服务器可能无法处理严重的DDoS攻击,但通过最大限度地保护,使我的基础设施可以处理一点点大的攻击,然后没有保护我可能会阻止一些脚本小子与小“僵尸networking“从服务器输血。 所以我想要做的就是尽可能的保护软件。
即使不是软件相关的事实,我只使用英特尔Pro服务器nics应提高我的几率,因为他们消耗更less的CPU功率,那么你会看到在平台上的Realtek nics在受损系统。 我不希望有人能够因为没有正确configuration就把系统closures。 但正如前面提到的,我很可能永远不会受到这样的攻击,这主要是因为我想试验我的select。
你从来没有真正保护你自己的DDOS。 您可以识别stream量并与您的ISP进行协调,以便在进入链接之前将其拦截。 如果你不得不把它阻挡在你的身边,你已经失去了战斗,因为你的pipe已经堵塞 (数据包必须到达你的FW之前被丢弃)。
那些以这种方式站在DDOS上的人真的是亚马逊这样的大个子,他们拥有ginourmous连接和弹性的云基础设施来适应请求(他们这样做,同时与他们的各种ISP协调阻止stream量,如上所述)。
pFsense或Apache都不是真正有效的减lessDDoS攻击的工具。 我从你的评论中看到你确实有一个很大的pipe道。 这个+限速是一个非常有效的策略。 我build议看看Toplayer( http://www.toplayer.com )这样的商业工具。 我希望在开源领域有一些东西,但现在我不认为有任何可用的东西。
那么这取决于你想要保护自己的东西。 您将无法防止在家庭连接上使用PFSense进行任何types的大型DDoS攻击。 您的家庭连接根本没有足够的带宽来支持它。 饱和整个连接是相当容易的,在这一点上,你所拥有的路由器并不重要。
你可能会做的是设置PFsense速率限制连接到每个远程IP端口80。 这将有助于某些types的攻击,尽pipe这种攻击远不及全面。
在PF-Sense中,你必须定义每个Ip的极限和连接,但是它只是在路线上的一个小石头。 PF有一个例子
回答你的问题(pfsense或apache),我会忽略所有其他正确的答案(你不应该试图阻止在您的端networking,但在您的ISP骨干DDoS)。
假设你关心SYN泛滥(DDoS有很多变种,并假设所有这些将会使这个答案长和主观)。
我会担心在我的pfsense中阻止它。 这是因为在你的apache deamon中,即使你可以拥有DDoS保护(再一次,如果你不应该,我不会input这个问题,但是它有一些模块 – 你也可以调查mod_evasive,在exploit的情况下, mod_security – 试图抵御它),它会发生在比pfsense更高的层次上。 尝试使其简单:使用Apache,它发生在“套接字”级别,而不是在“数据包”级别,因为pfsense能够做到。 如果我们考虑性能,这个差异是非常重要的。 两种解决scheme(pfsense + mod_ *)的结合也是给服务器增加额外生命的一个很好的select。