web-dev-qa-db-ja.com

ddos軽減のための公開されているiptablesの優れたスクリプトは何ですか?

ddos軽減のための公開されているiptablesの優れたスクリプトは何ですか?

5
baj

申し訳ありませんが、サーバーで直接実行しているソフトウェアファイアウォールでは、最新のDDoS攻撃を効果的に防ぐことはできません。パケットレートが高くなりすぎたり、パケットは、ファイアウォールが許可する有効なポートに着信します。

Iptablesで基本的なレート制限を行うことができます。ただし、DDoSの最初の「d」は「分散」を表します。攻撃に参加しているホストは多数あり、各ホストは低いレートで寄与する可能性があるため、レート制限はそれほど役に立ちません。

つまり、iptablesの管理ツールが必要な場合、いくつかのオプションがあります。Ubuntuには "ufw"が同梱されています-複雑ではありませんファイアウォール 、そしてそれはその名前に住んでいます。少し複雑なソリューションでは、 Shorewall が大好きです。他にもたくさんあります-お気に入りのディストリビューションのサポートフォーラムにアクセスすると、たくさんのオプションが見つかります。

1
Jesper M

Iptablesではありませんが、 Roboo が好きです。

0
atdre

[引用:申し訳ありませんが、サーバーで直接実行しているソフトウェアファイアウォールでは、最新のDDoS攻撃を効果的に防ぐことはできません]

100%正解です。デフレと負荷分散は、完全に保証された唯一のDDoS緩和策です。もちろん、そのためにはマルチサーバー設定またはCloud CDNが必要です。 (詳細については、こちらをチェックしてください クラウドセキュリティサービスプロバイダーの比較レビュー

また、IP範囲の制限は効果がないだけでなく、(潜在的に)損害を与えることにも注意しなければなりません。前述のように、DDoSはボットネットを使用します。ボットネットは、一貫性のないIPの非常に大きなプールになることがあるPCのネットワークです。

このますます一般的に発生するシナリオでは、「攻撃」IP範囲をブロックすると、実際に正当な訪問者からのアクセスを防止できますが、DDoS攻撃自体は防止できません。

0
Igal Zeifman