web-dev-qa-db-ja.com

ルーターでのApacheDDoS保護(pFsense)

新しいサーバーを購入したら、すぐにインフラストラクチャを変更します。古いサーバーハードウェア(Intel Atom 330、1GB ram、 Intel Pro Server MT Dual Gigabit nic)。新しいサーバーはSandyBridgeベースで、Apache + Sambaを実行します。

自宅でこの新しいインフラストラクチャをセットアップしているときに、DDoS保護を実験したいのですが、Apacheにはそれを可能にするモジュールなどがいくつかあることはわかっていますが、BSDベースのルーターを使用するため、最善の解決策はルーターにすでに何かを設定して、ルーターの背後にあるネットワークハードウェアへの負担を軽減します。

それで、基本的にその背景情報で、私はそのような構成をどのようにセットアップするのか、そしてそれが最良の解決策であるのかを尋ねたいと思います。

PFsenseでDDoS保護を設定するのは賢明ですか、それともそのようなことをWebサーバーで処理する必要がありますか?できるだけ早くパッケージをドロップするのが最善だと思うでしょう。

私はおそらくDDoS攻撃の対象にはならないでしょうが、安全を確保してから申し訳ありません。

編集:私のサーバーはおそらく深刻なDDoS攻撃を処理できないことを理解していますが、保護を最大化してインフラストラクチャが少し大きな攻撃を処理できるようにすることで、保護なしのスクリプトキディを阻止できる可能性があります。 bot-nets」がサーバーを破壊することから。ですから、私がやりたいのは、ソフトウェアに関して可能な限り優れた保護を行うことです。

私がIntelPro Server nicのみを使用しているという事実がソフトウェアに関連していない場合でも、CPU消費電力が、侵害されたシステムで見られる平均的なRealtek nicよりも少ないため、オッズが上がるはずです。システムが適切に構成されていないという理由だけで、誰かが私のシステムを停止できるようにしたくありません。しかし、前述のように、私はそのような攻撃を受けることはほとんどないでしょう。これは主に、自分のオプションを試してみたいからです。

securityfirewallfreebsdddospfsense
3
Hultner

DDOSから身を守ることはできません。トラフィックを特定し、ISPと調整して、リンクに入る前にトラフィックをブロックします。あなたがあなたの側でそれをブロックしなければならない場合、あなたのチューブはすでに詰まっているのであなたはすでに戦いに負けました(パケットはドロップされる前にFWに到達する必要があります)。

そのようにDDOSに立ち向かうことができるのは、本当にリクエストに対応するための巨大な接続と弾力性のあるクラウドインフラストラクチャを備えたAmazonのような大物です(そして、さまざまなISPと調整してトラフィックをブロックします私が上で言ったように)。

6
coredump

PFsenseもApacheも、効果的なDDoS緩和のための適切なツールではありません。あなたのコメントから、あなたには大きなパイプがあることがわかります。 +レート制限は非常に効果的な戦略です。 Toplayer( http://www.toplayer.com )のような商用ツールを検討することをお勧めします。オープンソースの分野で何かがあったらいいのにと思いますが、今のところ利用できるものはないと思います。

2
Antonius Bloch

あなたの質問(pfsenseまたはApache)に答えるために、私は他のすべての答えを無視します(エンドネットワークではなくISPバックボーンでDDoSをブロックしようとすべきではありません)。

SYNフラッドを懸念していると仮定します(DDoSには多くの亜種があり、それらすべてが長く主観的な答えになると仮定します)。

私は私のpfsenseでそれをブロックすることを心配するでしょう。これは、Apacheデーモンで、DDoS保護を使用できる場合でも(繰り返しますが、必要かどうかについては質問しませんが、いくつかのモジュールがあります-mod_evasiveを調査することもできます。エクスプロイトの場合は、 mod_security-それに対して自分自身を防御しようとするために)、それはpfsenseよりも高いレベルで起こります。簡単にするために:Apacheでは、pfsenseが実行できるように、「パケット」レベルではなく「ソケット」レベルで発生します。パフォーマンスを考えると、この違いは非常に重要です。両方のソリューション(pfsense + mod_ *)の組み合わせも、サーバーに余計な寿命を与えるための優れたオプションです。

0
VP.

PFSenseでは、IPごとの接続の制限と制限を定義する必要がありますが、ルート上の小さな岩にすぎません。 PFあり

0
user78440

まあ、それはあなたが自分自身を何から守ろうとしているのかによります。ホーム接続でPFSenseを使用して、あらゆる種類の大規模なDDoS攻撃を防ぐことはできません。ホーム接続には、それに耐えるのに十分な帯域幅がありません。接続全体を飽和させるのは非常に簡単です。その時点では、使用しているルーターは関係ありません。

おそらくできることは、リモートIPごとにポート80への接続をレート制限するようにPFsenseを設定することです。これは特定の種類の攻撃に役立ちますが、包括的とは言えません。

0
devicenull