У меня есть несколько вопросов относительно атак ddos и того, как они на самом деле работают, мне действительно нужно какое-то хорошее объяснение, так как я не могу найти никакой хорошей ссылки, которая могла бы мне помочь.
Каковы отношения между PPS (пакетов в секунду) и MBPS, и может ли огромное количество пакетов в секунду, например 500k / сек, привести к ddos, если даже пакеты отбрасываются межсетевым экраном?
могут ли ddos, такие как syn / udp flood, полностью подавляться только iptables, и может ли iptables обрабатывать любые ddos в зависимости от его силы и скорости, также может ли iptables, установленный на том же сервере, который подвергается атаке, обрабатывать очень огромное количество pps и отбрасывать их без какие-либо проблемы или влияют на производительность?
для син-паводка большинство пользователей рекомендует использовать синхронные файлы cookie в качестве идеального решения для смягчения последствий син-наводнения, но, к сожалению, попытка этого не помогла, почему? есть ли у синхронных файлов cookie ограничения или что-то нужно настроить на сервере, например, дискриптор файлов?
Может ли обновление сетевой карты на сервере со 100 Мбит до 1 Гбит / с помочь в большей степени смягчения атаки ddos, или оно не будет иметь никакого эффекта?
ПРИМЕЧАНИЕ: в данном случае я имею в виду только обновление сетевого интерфейса, но скорость сети останется прежней.
Здесь вы должны быть более конкретными. Есть несколько способов сделать (D) DoS:
a) «DoS приложения» (не знаю, существует ли для этого правильное имя) - это место, где сеть может обрабатывать трафик, но сервер (ы) приложений не может. Это когда входящий трафик ниже скорости сети, но количество запросов превышает то, что может обработать сервер приложений. (или ваш прокси, или то, к чему подключается злоумышленник)
В этом случае да (вопрос 1), чем больше количество пакетов, тем выше нагрузка на их фильтрацию / сброс. Но обычно при наличии простых правил (отбрасывание пакетов после определенного количества одновременных подключений) большинство межсетевых экранов могут работать на линейной скорости. Если у вас есть более сложные правила (L4, L7, ...) и их большое количество, большое количество пакетов может создать достаточно высокую нагрузку для брандмауэра, чтобы отбросить все пакеты, которые не попали в буфер. (потому что он был завален).
Для iptables (вопрос 2) то же самое. Если есть только одно правило DROP, оно будет работать без проблем с большим количеством пакетов. Если вы сделаете правила более сложными, нагрузка возрастет, и ядро начнет отбрасывать пакеты независимо от правил.
Syncookies (вопрос 3) хорошо работают с синхронными потоками, потому что системе не нужно резервировать некоторые ресурсы для подключения. Если компьютеры ботнета отвечают на синхронизацию / подтверждение подтверждением, выполняется рукопожатие, и ресурсы резервируются и используются. Это зависит от того, с чем вы тестировали файлы cookie.
Обновление сетевой карты (вопрос 4) зависит от сетевого / интернет-провайдера. Если у вас есть линия 20/20 Мбит / с, не имеет значения, карта у вас 100 Мбит или 1 ГБ, так как вы ограничены вашим интернет-провайдером. Если у вас 200-мегабитная линия, то наличие гигабитной карты очень помогает (но зачем вам 100-мегабитная карта с платным сервисом на 200 мегабит ??).
б) Трафик (D) DoS-атаки превышает скорость вашего сетевого / интернет-соединения. Это когда злоумышленник отправляет вам больше трафика (независимо от того, какой - tcp, udp, icmp, ...), чем может обработать ваше сетевое соединение. Если это произойдет, то вы в основном облажались, и вы (!) Ничего не можете сделать. Вы, конечно, можете позвонить своему интернет-провайдеру и попросить его установить для вас брандмауэр (просто разрешите соединения из вашей страны и т. Д.), Если они могут это сделать и если вы можете себе это позволить.
Теоретически количество компьютеров, подвергшихся DDoS-атакам, не имеет значения. Если у вас линия 10 Мбит, и если злоумышленник отправляет 100 Мбит UDP-трафика, ваше соединение "перестает работать". Неважно, идет ли трафик с 1 ПК с линией 100 Мбит или с 100 ПК с линией 1 Мбит. Но для вашего интернет-провайдера намного проще заблокировать 1 IP-адрес, чем заблокировать 100, 1000 или миллионы различных IP-адресов, и еще сложнее узнать, какой трафик является законным (люди, которым нужна ваша услуга), а какой - трафик вредоносных атак.
Количество пакетов в секунду (pps) и мегабит в секунду (Mbps) связано следующим образом:
Megabit per second = Packet per second * packet size (bits) / 1,000,000
iptables может помочь вам каким-то образом контролировать DDOS-атаки, но проблема в том, как отличить запросы атаки от законных запросов. Да, вы можете использовать iptables на своем шлюзе и на своих серверах.
Я не думаю, что обновление вашей сетевой карты или изменение ее скорости окажет какое-либо влияние на способность защищаться от DDOS-атак, поскольку в большинстве случаев ваша пропускная способность намного ниже скорости интерфейса.