Назад | Перейти на главную страницу

Защита Apache от DDoS-атак в маршрутизаторе (pFsense)

Я скоро изменю свою инфраструктуру, когда куплю новый сервер. Я собираюсь заменить свой маршрутизатор D-Link DIR-655 на маршрутизатор pFsense (и, вероятно, использовать 655 в качестве точки доступа), используя свое старое серверное оборудование (Intel Atom 330, 1 ГБ оперативной памяти, Intel Pro Server MT Dual Gigabit nic). Мой новый сервер будет на базе SandyBridge и будет работать с Apache + Samba.

Теперь, когда я настраиваю эту новую инфраструктуру дома, я хочу поэкспериментировать с защитой от DDoS, я знаю, что есть некоторые модули и прочее для apache, которые позволяют мне это делать, но поскольку у меня будет маршрутизатор на основе BSD, лучшее решение, по-видимому, будет настроить что-то уже в маршрутизаторе, что снижает нагрузку на сетевое оборудование за маршрутизатором.

Итак, в основном, имея эту исходную информацию, я хотел бы спросить, как мне настроить такую ​​конфигурацию и будет ли это лучшим решением?

Разумно ли устанавливать защиту от DDoS-атак в pFsense или это должно выполняться веб-сервером? Казалось бы, лучше всего выбросить посылки как можно раньше.

Хотя я, вероятно, не буду подвергаться DDoS-атаке, лучше перестраховаться.

Изменить: я понимаю, что мои серверы, вероятно, не смогут справиться с серьезной атакой DDoS, но, максимизируя защиту, чтобы моя инфраструктура могла справляться с немного более крупными атаками, тогда без защиты я, вероятно, смог бы остановить некоторых скрипт-кидди с меньшими " бот-сети »от сваливания сервера. Итак, я хочу иметь как можно более хорошую программную защиту.

Даже если это не связано с программным обеспечением, тот факт, что я использую только сетевые адаптеры Intel Pro Server, должен в некоторой степени повысить мои шансы, поскольку они потребляют меньше энергии процессора, чем средние сетевые адаптеры Realtek, которые вы увидите в скомпрометированных системах. Я не хочу, чтобы кто-то смог вывести мою систему из строя только потому, что она неправильно настроена. Но, как упоминалось ранее, я, скорее всего, никогда не буду подвергаться такой атаке, и это в основном потому, что я хочу поэкспериментировать со своими возможностями.

Вы действительно не защищаете себя от DDOS со своей стороны. Вы определяете трафик и координируете действия со своим интернет-провайдером, чтобы заблокировать его до того, как он попадет в вашу ссылку. Если вам нужно заблокировать его на своей стороне, вы уже проиграли битву, потому что ваш трубы уже забит (пакеты должны достичь вашего FW, прежде чем будут отброшены).

Таким образом удается противостоять DDOS: действительно большие люди, такие как Amazon, имеют великолепные соединения и эластичную облачную инфраструктуру для обработки запросов (и они делают это, координируя свои действия со своими различными интернет-провайдерами для блокировки трафика, как я сказал выше).

Ни pFsense, ни Apache не являются подходящими инструментами для эффективного предотвращения DDoS-атак. По твоим комментариям я вижу, что у тебя большая трубка. Это + ограничение скорости - довольно эффективная стратегия. Я предлагаю посмотреть коммерческий инструмент, например Toplayer (http://www.toplayer.com). Я хотел бы, чтобы что-то было на арене с открытым исходным кодом, но сейчас я не думаю, что есть что-то доступное.

чтобы ответить на ваш вопрос (pfsense или apache), я просто проигнорирую все остальные право ответы (что вы не должны пытаться заблокировать DDoS в вашей конечной сети, а в магистрали вашего интернет-провайдера).

Предполагая, что вас беспокоит SYN-флуд (DDoS имеет много вариантов, и предполагая, что все они сделают этот ответ длинным И субъективным).

Я был бы обеспокоен тем, чтобы заблокировать это в моем pfsense. Это потому, что в вашем apache deamon, даже если вы можете иметь защиту от DDoS (опять же, я не задаю вопрос, нужно вам или нет, но в нем есть некоторые модули - вы также можете исследовать mod_evasive, а в случае эксплойтов, mod_security - чтобы попытаться от него защититься), это произойдет на более высоком уровне, чем в pfsense. Чтобы упростить задачу: с apache это происходит на уровне «сокетов», а не на уровне «пакетов», как это может сделать pfsense. Эта разница действительно важна, если мы думаем о производительности. Комбинация обоих решений (pfsense + mod_ *) также является хорошим вариантом, чтобы дать дополнительную жизнь вашему серверу.

В PFSense вы должны определить лимит и количество подключений на каждый IP-адрес, но это всего лишь небольшой камень на маршруте. Eсть пример с ПФ

Ну, это зависит от того, от чего вы пытаетесь защитить себя. Вы не сможете предотвратить любую крупную DDoS-атаку с помощью PFSense на своем домашнем соединении. У вашего домашнего подключения просто недостаточно пропускной способности, чтобы противостоять этому. Было бы довольно легко заполнить все ваше соединение, в этот момент неважно, какой у вас роутер.

Что вы, вероятно, можете сделать, так это установить PFsense на ограничение скорости соединений на порт 80 для каждого удаленного IP-адреса. Это могло бы помочь с некоторыми типами атак, хотя это далеко не всесторонне.