u2u2
2009-07-27, 08:08 AM
對外的gateway不開啟任何port
只nat內部的client pc access internet
是不是還會受到ddos攻擊?
用的是linux系統
贊助商連結
只nat內部的client pc access internet
是不是還會受到ddos攻擊?
用的是linux系統
贊助商連結
贊助商連結 u2u2 2009-07-27, 08:08 AM 對外的gateway不開啟任何port 只nat內部的client pc access internet 是不是還會受到ddos攻擊? 用的是linux系統 贊助商連結 tvirus 2009-07-27, 10:23 AM DDOS的主要兩個用途 1.癱瘓系統服務 2.塞爆頻寬 NAT下沒開port,當然是不用去管服務阻斷問題 只需要擔心會不會被塞爆頻寬就好 xrcd2 2009-07-27, 04:56 PM DDOS的主要兩個用途 1.癱瘓系統服務 2.塞爆頻寬 NAT下沒開port,當然是不用去管服務阻斷問題 只需要擔心會不會被塞爆頻寬就好 補充: 就以簡單的Firewall來說.它也必需針對每一個Interface進入的封包都看過,才會做進一步的處理. 如 Accept、Drop、Route....,所以rule跟policy的擬定對Firewall管理者來說是很重要的工作. 以Linux做為NAT Gateway也是如此.不管是從哪來(interface)的封包,全數都是要浪費電腦的 resource去處理(input processed output).如NAT、ACL、Routing、content-inspection 等等工作. IPS(IDS)與UTM設備也是如此.沒看過內容又如何進行處理呢?廣泛來說DDOS也是可以影響 任何擁有Internet IP 的設備或主機或經過的裝置(就resource而言可能會受到影響). 看過封包才知它是DOS還是DDOS、Attack、IP-scan、Port-scan.至於有沒有意義或有沒有效果, 則不在此討論. 就如同Code Red這支電腦病毒,也影響了cisco小烏龜這樣的網路設備.但其實它本來的攻擊(感染) 目標是IIS.:|||: u2u2 2009-07-27, 05:46 PM 我的理解是 當不開啟任何port的情形下 firewall對外來data packet的檢測只要不是 --state RELATED ESTABLISHED 都全數擋下 這樣的檢測當然也要耗費電腦resource的 但是是耗費電腦資源最低的檢測 一般不會達到100 cpu佔用 因為這是firewall所做的就是在極限流量的情況下 擋下所有--state不是RELATED ESTABLISHED 的流量 應該不會完全癱瘓由內向外的data packet 但是當DDOS攻擊的data packet塞爆網路 正常的data packet下行的速度很慢 會在很大程度上影響正常的網絡訪問 另外想問的是對DDOS的攻擊,目前最好的解決方法是什麼? tvirus 2009-07-27, 08:00 PM 另外想問的是對DDOS的攻擊,目前最好的解決方法是什麼? 個人認知:無解 但是有錢好辦事 1.多線 2.多機 3.ISP的配合 FYI 2009-07-28, 10:38 PM 另外想問的是對DDOS的攻擊,目前最好的解決方法是什麼? 以下是特例, 若主機IP 不固定或可變 (例如PPPoE), 那麼最好方法就是 "三十六計, 逃為上策"! 請看 "大陸 Natshell ns2200路由器測試分享 - PCZONE 討論區 (http://www.pczone.com.tw/thread/16/146431/)" |
|