gateway不開啟任何port還會受到ddos攻擊?



贊助商連結


u2u2
2009-07-27, 08:08 AM
對外的gateway不開啟任何port
只nat內部的client pc access internet
是不是還會受到ddos攻擊?

用的是linux系統

贊助商連結


tvirus
2009-07-27, 10:23 AM
DDOS的主要兩個用途
1.癱瘓系統服務
2.塞爆頻寬

NAT下沒開port,當然是不用去管服務阻斷問題
只需要擔心會不會被塞爆頻寬就好

xrcd2
2009-07-27, 04:56 PM
DDOS的主要兩個用途
1.癱瘓系統服務
2.塞爆頻寬

NAT下沒開port,當然是不用去管服務阻斷問題
只需要擔心會不會被塞爆頻寬就好

補充:

就以簡單的Firewall來說.它也必需針對每一個Interface進入的封包都看過,才會做進一步的處理.
如 Accept、Drop、Route....,所以rule跟policy的擬定對Firewall管理者來說是很重要的工作.
以Linux做為NAT Gateway也是如此.不管是從哪來(interface)的封包,全數都是要浪費電腦的
resource去處理(input processed output).如NAT、ACL、Routing、content-inspection
等等工作.

IPS(IDS)與UTM設備也是如此.沒看過內容又如何進行處理呢?廣泛來說DDOS也是可以影響
任何擁有Internet IP 的設備或主機或經過的裝置(就resource而言可能會受到影響).
看過封包才知它是DOS還是DDOS、Attack、IP-scan、Port-scan.至於有沒有意義或有沒有效果,
則不在此討論.
就如同Code Red這支電腦病毒,也影響了cisco小烏龜這樣的網路設備.但其實它本來的攻擊(感染)
目標是IIS.:|||:

u2u2
2009-07-27, 05:46 PM
我的理解是
當不開啟任何port的情形下
firewall對外來data packet的檢測只要不是
--state RELATED ESTABLISHED
都全數擋下

這樣的檢測當然也要耗費電腦resource的
但是是耗費電腦資源最低的檢測
一般不會達到100 cpu佔用
因為這是firewall所做的就是在極限流量的情況下
擋下所有--state不是RELATED ESTABLISHED
的流量
應該不會完全癱瘓由內向外的data packet

但是當DDOS攻擊的data packet塞爆網路
正常的data packet下行的速度很慢
會在很大程度上影響正常的網絡訪問

另外想問的是對DDOS的攻擊,目前最好的解決方法是什麼?

tvirus
2009-07-27, 08:00 PM
另外想問的是對DDOS的攻擊,目前最好的解決方法是什麼?
個人認知:無解

但是有錢好辦事
1.多線
2.多機
3.ISP的配合

FYI
2009-07-28, 10:38 PM
另外想問的是對DDOS的攻擊,目前最好的解決方法是什麼?
以下是特例, 若主機IP 不固定或可變 (例如PPPoE), 那麼最好方法就是 "三十六計, 逃為上策"! 請看 "大陸 Natshell ns2200路由器測試分享 - PCZONE 討論區 (http://www.pczone.com.tw/thread/16/146431/)"