V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
coosir
V2EX  ›  问与答

自建机房,硬防的重要性

  •  
  •   coosir · 2013-01-28 16:44:47 +08:00 · 5698 次点击
    这是一个创建于 4319 天前的主题,其中的信息可能已经有所发展或是发生改变。
    server放公司,接电信光纤,固定IP。以前有过DDOS攻击。
    现在需要重新启用,那硬防是不是必需的?有没有什么推荐?

    如果系统只允许某些IP段访问,那IP段外的攻击的影响会有多大呢?
    20 条回复    1970-01-01 08:00:00 +08:00
    coagent
        1
    coagent  
       2013-01-28 17:33:43 +08:00
    有硬防当然好,访问量不大,像juniper/cisco的防火墙,2W 左右能拿到不错的了。
    coagent
        2
    coagent  
       2013-01-28 17:34:34 +08:00
    其实你也可以用一台 linux 自己弄,endian firewall 是一个还不错的产品
    qiuai
        3
    qiuai  
       2013-01-28 17:38:00 +08:00
    弄个小路由器在机器前面.就算是防火墙了...
    也可以弄个小机器DIY个防火墙.
    至于专业级别的硬防...又不是成天D...
    coosir
        4
    coosir  
    OP
       2013-01-28 18:11:28 +08:00
    @coagent
    @qiuai
    谢谢,假如我只允许白名单内IP访问,那么大量其他IP过来的流量被挡住了,这种情况下他们的攻击还有效么(对服务器还有很大影响么)?
    keithl
        5
    keithl  
       2013-01-28 18:14:15 +08:00
    无效,你的带宽要超过打过来的带宽.
    coosir
        6
    coosir  
    OP
       2013-01-28 18:18:16 +08:00
    @keithl 如果是按带宽来看,那么硬防也没用吧,岂不是拥堵还是拥堵 (小白俺不知道硬防原理)
    keithl
        7
    keithl  
       2013-01-28 18:25:19 +08:00
    @coosir 硬防可以过滤攻击到后端服务器的攻击流量,防止服务器挂掉.
    既然要过滤就肯定要接受数据包,这时带宽已经用掉了.
    vking
        8
    vking  
       2013-01-28 18:29:20 +08:00 via Android
    順便問一下:一般洪水的帶寬有多寬?
    是不是這樣計算,如果按每台1mb,1000台也就1G左右。
    coosir
        9
    coosir  
    OP
       2013-01-28 18:33:55 +08:00
    @keithl thanks,那我前面再加一道server,设置iptable只允许白名单,其他的就都挡掉了。这种方式可行么?跟我目前本身的server配置iptable有很大差别么?

    (我还一直停留在水管的概念上,假设我某端口不开放,硬是有很多人访问这个端口,这个不会造成拥堵么?)
    qiuai
        10
    qiuai  
       2013-01-28 18:36:24 +08:00
    @coosir 那也要看你的白名单怎么实现的,DDOS的时候对百名单服务器也是压力
    keithl
        11
    keithl  
       2013-01-28 18:42:39 +08:00
    @coosir 没用的,入口饱和的话一样挂掉.
    Js
        12
    Js  
       2013-01-28 18:45:40 +08:00   ❤️ 1
    @coosir 没用,带宽不够,关机都能把你堵死, 好比你家里被硬防洗得比较干净, 但是你家门口、楼道甚至小区门口、街道都被堵住,你一样寸步难行。 没几G带宽接入, 为了抗DDOS的目的上硬防比较多余
    coosir
        13
    coosir  
    OP
       2013-01-28 19:15:04 +08:00
    @Js 这样比较形象。。。可是这样的话带宽充裕的情况下也不太需要硬防吧,那这样是不是可以概括为:硬防没啥用
    edwinlai
        14
    edwinlai  
       2013-01-29 07:56:51 +08:00
    硬防几乎没用,拼带宽,上个检测设备还是有必要的,比如那个ip受攻击了,然后可以及时反应,大部分机房都是null 路由,
    Ultratude
        15
    Ultratude  
       2013-01-29 08:35:14 +08:00 via iPhone
    话说这叫自建机房?
    BigZ
        16
    BigZ  
       2013-01-29 12:24:56 +08:00
    10万以下的硬防没有啥用,都是跑的软件,原理和iptable 差不多

    DDOS拼的是带宽,用啥防火墙都没有效果
    coosir
        17
    coosir  
    OP
       2013-01-29 12:47:45 +08:00
    @Ultratude 只是相对于托管而言啦,不是实际意义上的大型机房
    Js
        18
    Js  
       2013-01-29 15:50:58 +08:00   ❤️ 1
    @coosir 这就反过来,好比楼道之类都没堵塞,但是你家里被堵满了。硬防的作用就是用来洗流量的。 不过抗ddos, 扛ddos带宽还是第一位的, 小规模软路由足够了, 我记得早几年国内bsd社区有大牛用单核废弃机装freebsd做软路扛了gbps规模的ddos
    coosir
        19
    coosir  
    OP
       2013-01-29 17:07:06 +08:00   ❤️ 1
    @Js 所以硬防的作用主要是用在带宽尚够时的流量清洗,以免大量服务请求导致server宕机。
    嗯,@coagent 提到的endian firewall还有RouterOS等用于自建防火墙也能起到一定作用的咯
    hq5261984
        20
    hq5261984  
       2013-01-29 17:50:10 +08:00
    DDOS对抗就是针对你机房的带宽,服务器的CPU,内存,硬盘这些东东的总的对抗,任何一个点出现瓶颈你就挂了。理论上来说你只建一个机房其实就等于是个瓶颈了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3133 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 83ms · UTC 13:59 · PVG 21:59 · LAX 05:59 · JFK 08:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.