Linux

如何保護家庭伺服器免受 DoS 攻擊?關於研究的問題

  • November 9, 2020

我對幾種類型的攻擊進行了研究,這個頁面是一個範例。有些攻擊不會對整個系統造成極大的危害,而大多數攻擊類型可以通過小心或借助自動化軟體來預防。例如,“阻止在 y 秒內連續登錄 x 次失敗的 IP 地址”可能適用於基本級別的暴力密碼攻擊。但是我想不出針對 DoS 攻擊的解決方案。因為:( 如果我錯了請糾正我)

  1. 攻擊者每秒可以從單個埠用數百個(或更多?)請求轟炸伺服器。

假設請求來自相同的 IP 地址,則可以添加防火牆規則來阻止該 IP - 甚至可以通過自動安全軟體 -。但是,如果攻擊者繼續發送請求,防火牆每秒應用數百個“額外”檢查是否仍然不是負擔?它不會消耗通常有限的伺服器頻寬以及計算資源嗎?防火牆開始丟棄/失去包是否有計算限制? 2. 攻擊者可以修改數據包的頭部,並不斷用新的 IP 地址轟炸伺服器。

讓防火牆阻止這麼多 IP 地址不會導致合法客戶端在一段時間內被阻止嗎?第一台路由伺服器很可能會過濾掉源IP地址外的數據包,但是,與攻擊者在同一網路上的合法客戶端不會也被阻止嗎?

據我所知,雲伺服器分配負載並等待 DoS/DDos 攻擊通過,而攻擊來自的網路管理員會採取行動。但是對於家庭伺服器來說,最小的信任損失和聲望損失的解決方案是什麼?

謝謝你。

在網際網路上,您無法控制傳入流量。

假設您有一個 1Gbps 的網際網路管道。

如果您收到超過 1Gbps(使用單個 IP 或與殭屍網路拆分),您的 ISP 和您之間的管道將是滿的。無論您的壞蛋防火牆是否可以在網路的早期邊緣丟棄流量。

最好有一個單獨的設備(路由器或防火牆)來丟棄數據包,這樣它就不會影響您的應用伺服器性能。

是的,網路設備可以處理的 pps(每秒數據包數)有限制。因為它消耗 CPU 來處理數據包(丟棄或接受)。

通常,您並沒有真正阻止 IP,而只是丟棄了與模式匹配的數據包。

真正的解決方案是:

  • 您的 isp 阻止流量。
  • 您有足夠大的管道來接收流量並將其丟棄。

有趣的閱讀: https ://javapipe.com/blog/iptables-ddos-protection/ https://blog.cloudflare.com/how-to-drop-10-million-packets/

引用自:https://serverfault.com/questions/1041907