對外的gateway不開啟任何port
只nat內部的client pc access internet
是不是還會受到ddos攻擊?
用的是linux系統
對外的gateway不開啟任何port
只nat內部的client pc access internet
是不是還會受到ddos攻擊?
用的是linux系統
DDOS的主要兩個用途
1.癱瘓系統服務
2.塞爆頻寬
NAT下沒開port,當然是不用去管服務阻斷問題
只需要擔心會不會被塞爆頻寬就好
補充:
就以簡單的Firewall來說.它也必需針對每一個Interface進入的封包都看過,才會做進一步的處理.
如 Accept、Drop、Route....,所以rule跟policy的擬定對Firewall管理者來說是很重要的工作.
以Linux做為NAT Gateway也是如此.不管是從哪來(interface)的封包,全數都是要浪費電腦的
resource去處理(input processed output).如NAT、ACL、Routing、content-inspection
等等工作.
IPS(IDS)與UTM設備也是如此.沒看過內容又如何進行處理呢?廣泛來說DDOS也是可以影響
任何擁有Internet IP 的設備或主機或經過的裝置(就resource而言可能會受到影響).
看過封包才知它是DOS還是DDOS、Attack、IP-scan、Port-scan.至於有沒有意義或有沒有效果,
則不在此討論.
就如同Code Red這支電腦病毒,也影響了cisco小烏龜這樣的網路設備.但其實它本來的攻擊(感染)
目標是IIS.
此文章於 2009-07-27 05:03 PM 被 xrcd2 編輯。
我的理解是
當不開啟任何port的情形下
firewall對外來data packet的檢測只要不是
--state RELATED ESTABLISHED
都全數擋下
這樣的檢測當然也要耗費電腦resource的
但是是耗費電腦資源最低的檢測
一般不會達到100 cpu佔用
因為這是firewall所做的就是在極限流量的情況下
擋下所有--state不是RELATED ESTABLISHED
的流量
應該不會完全癱瘓由內向外的data packet
但是當DDOS攻擊的data packet塞爆網路
正常的data packet下行的速度很慢
會在很大程度上影響正常的網絡訪問
另外想問的是對DDOS的攻擊,目前最好的解決方法是什麼?
以下是特例, 若主機IP 不固定或可變 (例如PPPoE), 那麼最好方法就是 "三十六計, 逃為上策"! 請看 "大陸 Natshell ns2200路由器測試分享 - PCZONE 討論區"
書籤