路由器中的 Apache DDoS 保護 (pFsense)
當我購買新伺服器時,我很快就會改變我的基礎設施。我將使用我的舊伺服器硬體(Intel Atom 330、1GB ram、Intel Pro Server MT Dual Gigabit nic)將我的 D-Link DIR-655 路由器替換為 pFsense 路由器(並且可能使用 655 作為 AP)。我的新伺服器將基於 SandyBridge 並執行 Apache+Samba。
現在,當我在家裡設置這個新的基礎設施時,我想嘗試 DDoS 保護,我知道有一些用於 apache 的模組和東西可以讓我這樣做,但是因為我將擁有一個基於 BSD 的路由器,所以最好的解決方案似乎是已經在路由器中設置了一些東西,從而減少了路由器後面的網路硬體的壓力。
所以基本上有了這些背景資訊,我想問一下我將如何設置這樣的配置,它會是最好的解決方案嗎?
在 pFsense 中設置 DDoS 保護是否明智,還是應該由網路伺服器處理此類事情?人們會認為最好儘早丟棄包裹。
儘管我可能不會受到 DDoS 攻擊,但最好是安全而不是抱歉。
編輯:我知道我的伺服器可能無法處理嚴重的 DDoS 攻擊,但通過最大限度地保護我的基礎設施可以處理更大的攻擊,然後如果沒有保護,我可能能夠阻止一些腳本小子用更小的“ bot-nets" 防止伺服器癱瘓。所以我想做的是在軟體方面擁有盡可能好的保護。
即使它與軟體無關,我只使用英特爾 Pro 伺服器網卡這一事實應該會提高我的機率,因為它們消耗的 CPU 功率比你在受感染系統中看到的平均 Realtek 網卡要少。我不希望有人僅僅因為沒有正確配置而關閉我的系統。但如前所述,我很可能永遠不會受到這樣的攻擊,這主要是因為我想嘗試我的選擇。
您並沒有真正保護自己免受 DDOS 攻擊。您辨識流量並與您的 ISP 協調以在它進入您的連結之前阻止它。如果你必須在你身邊阻止它,你已經輸掉了這場戰鬥,因為你的管子已經被堵塞了(數據包必須在被丟棄之前到達你的 FW)。
能夠以這種方式抵禦 DDOS 的是像亞馬遜這樣的大人物,他們擁有巨大的連接和彈性的雲基礎設施來適應請求(他們這樣做的同時與各種 ISP 協調以阻止流量,正如我上面所說的)。