开源流控ddos防火墙_开源 防火墙

开源流控ddos防火墙_开源 防火墙

       大家好，今天我要和大家探讨一下关于开源流控ddos防火墙的问题。为了让大家更容易理解，我将这个问题进行了归纳整理，现在就让我们一起来看看吧。

1.防御ddos攻击的几大有效方法是什么？求讲解

2.用防火墙可以防御DDoS吗？

3.DDOS攻击好恶心啊有没有办法或者防火墙

4.路由器防ddos攻击路由器ddos防御云防火墙

5.ddos云防护是什么？

6.DDoS顶级防火墙 是什么标准

防御ddos攻击的几大有效方法是什么？求讲解

       谈到防止DDoS攻击的方法，就少不了从本地DDOS防护 、基于云的托管服务和混合型DDoS三种防护架构入手。它们各有优缺点，因为攻击者也可能组合使用这些攻击类型中的几种，这意味着组织需要制定一个灵活且全面的DDoS防护架构。为了保护客户免遭DDoS攻击，F5分布式云平台高效运营着一个全球安全网络，其中部署至第1层IXC的接入点（PoP）通过专用的TB级冗余线路与骨干网彼此互联。分布式云 PoP 能够提供强大的云网络基础架构保护，包括DDoS 防护、3层防火墙及异常检测。该解决方案能抵御具有针对性的网络和应用层攻击，真正解除威胁。

用防火墙可以防御DDoS吗？

       抵御DDOS

       DDOS，分布式拒绝访问攻击，是指黑客组织来自不同来源的许多主机，向常见的端口，如80，25等发送大量连接，但这些客户端只建立连接，不是正常访问。由于一般Apache配置的接受连接数有限（通常为256），这些“假” 访问会把Apache占满，正常访问无法进行。

       Linux提供了叫ipchains的防火墙工具，可以屏蔽来自特定IP或IP地址段的对特定端口的连接。使用ipchains抵御DDOS，就是首先通过netstat命令发现攻击来源地址，然后用ipchains命令阻断攻击。发现一个阻断一个。

       *** 打开ipchains功能

       首先查看ipchains服务是否设为自动启动：

       chkconfig --list ipchains

       输出一般为：

       ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off

       如果345列为on，说明ipchains服务已经设为自动启动

       如果没有，可以用命令：

       chkconfig --add ipchains

       将ipchains服务设为自动启动

       其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果这一文件不存在，ipchains

       即使设为自动启动，也不会生效。缺省的ipchains配置文件内容如下：

       # Firewall configuration written by lokkit

       # Manual customization of this file is not recommended.

       # Note: ifup-post will punch the current nameservers through the

       # firewall; such entries will *not* be listed here.

       :input ACCEPT

       :forward ACCEPT

       :output ACCEPT

       -A input -s 0/0 -d 0/0 -i lo -j ACCEPT

       # allow stat命令发现攻击来源

       假如说黑客攻击的是Web 80端口，察看连接80端口的客户端IP和端口，命令如下：

       netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

       输出：

       161.2.8.9:123 FIN_WAIT2

       161.2.8.9:124 FIN_WAIT2

       61.233.85.253:23656 FIN_WAIT2

       ...

       第一栏是客户机IP和端口，第二栏是连接状态

       如果来自同一IP的连接很多（超过50个），而且都是连续端口，就很可能是攻击。

       如果只希望察看建立的连接，用命令：

       netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

       *** 用ipchains阻断攻击来源

       用ipchains阻断攻击来源，有两种方法。一种是加入到/etc/sysconfig/ipchains里，然后重启动ipchains服务。另一种是直接用ipchains命令加。屏蔽之后，可能还需要重新启动被攻击的服务，是已经建立的攻击连接失效

       * 加入/etc/sysconfig/ipchains

       假定要阻止的是218.202.8.151到80的连接，编辑/etc/sysconfig/ipchains文件，在:output ACCEPT

       行下面加入：

       -A input -s 218.202.8.151 -d 0/0 http -y -j REJECT

       保存修改，重新启动ipchains：

       /etc/init.d/ipchains restart

       如果要阻止的是218.202.8的整个网段，加入：

       -A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

       * 直接用命令行

       加入/etc/sysconfig/ipchains文件并重起ipchains的方法，比较慢，而且在ipchains重起的瞬间，可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。

       假定要阻止的是218.202.8.151到80的连接，命令：

       ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

       如果要阻止的是218.202.8的整个网段，命令：

       ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

       其中，-I的意思是插入，input是规则连，1是指加入到第一个。

       您可以编辑一个shell脚本，更方便地做这件事，命令：

       vi blockit

       内容：

       #!/bin/sh

       if [ ! -z "$1" ] ; then

       echo "Blocking: $1"

       ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT

       else

       echo "which ip to block?"

       fi

       保存，然后：

       chmod 700 blockit

       使用方法：

       ./blockit 218.202.8.151

       ./blockit 218.202.8.0/255.255.255.0

       上述命令行方法所建立的规则，在重起之后会失效，您可以用ipchains-save命令打印规则:

       ipchains-save

       输出：

       :input ACCEPT

       :forward ACCEPT

       :output ACCEPT

       Saving `input'.

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y

       您需要把其中的"Saving `input'."去掉，然后把其他内容保存到/etc/sysconfig/ipchains文件，这样，下次重起之后，建立的规则能够重新生效。

DDOS攻击好恶心啊有没有办法或者防火墙

       防火墙防不了DDoS攻击，DDoS只是访问量增加，除非你不让别人访问，当流量超出服务器的网络带宽时，服务器就会拥堵到无法访问，也就是瘫痪。最常见的不过是ping攻击，也是最简单，防御ping攻击很简单，服务器IP禁ping即可,设置禁ping还可以防御其他攻击，有的黑客是否停止攻击的依据就是你的服务器是否ping的通，因为发起DDoS攻击也是需要成本的，需要大量的肉鸡等等，不可能长时间持续对一个目标攻击，除非是针对性的！防御DDoS攻击最根本的办法就是买高防，比如墨者安全高防防御流量1000G，国内DDOS一般最多几十到几百G左右吧。

路由器防ddos攻击路由器ddos防御云防火墙

       高防CDN架构，云端防护，商城站和游戏的首选，云盾高防CDN,网站在头像

       游戏行业一直竞争非常激烈，其中棋牌行业是竞争、攻击最复杂的一个“江湖”。

       很多公司对这个行业不了解，贸然进行进入，对自身的系统、业务安全没有很好的认知，被攻击了就会束手无策，尤其是DDoS攻击是什么，怎么防护都不了解。

       黑客的主要攻击方式：

       1、DDoS 它使用UDP报文、TCP报文攻击游戏服务器的带宽，这一类攻击十分暴力，现象就是服务器带宽异常升高，攻击流量远远大于服务器能承受的最大带宽，导致服务器造成拥塞，正常玩家的请求到达不了服务器。

       2、BotAttack（TCP协议类CC攻击） 这种攻击比DDoS更难防御，黑客通过TCP协议的漏洞，利用海量真实肉鸡向服务器发起TCP请求，正常服务器能接受的请求数在3000个／秒左右，黑客通过每秒十几万的速度向服务器发起TCP请求，导致服务器TCP队列满，CPU升高、内存过载，造成服务器宕机，会严重影响客户的业务，这种攻击的流量很小，在真实的业务流量中隐藏，难以发现又很难防御。

       3、业务的模拟（深度业务模拟类CC攻击） 棋牌类的游戏通信协议比较简单，黑客进行协议破解几乎没什么难度，目前我们已经发现有黑客会针对棋牌客户的登陆、注册、房间创建、充值等多种业务接口进行协议模拟型的攻击，这种流量相当于正常业务流量，比BotAttck模拟程度更高，防御难度更高！

       4、其他针对性手段 除了传统的网络攻击，很多棋牌客户还被有针对性的攻击，例如：数据库数据泄漏、微信恶意举报封域名等非常有针对性的攻击，出现问题会直接影响业务的发展。 游戏公司如何判断自己被攻击呢？ 假设可以确实不是线路和硬件故障，连接服务器突然变得困难，在游戏中的用户掉线等现象，则很有可能是遭受了DDoS攻击。 目前，游戏行业的IT基础设施有两种部署模式：一是采用云计算或托管IDC模式，二是自拉网络专线。由于费用的考虑，绝大多数采用前者。 不管是前者还是后者接入，正常游戏用户可以自由的进入服务器娱乐。如果突然出现这几种现象，就可以判断是“被攻击”状态。

       （1）主机的IN/OUT流量较平时有显著的增长。

       （2）主机的CPU或者内存利用率出现无预期的暴涨。

       （3）通过查看当前主机的连接状态，发现有很多半开连接，或者是很多外部IP地址，都与本机的服务端口建立几十个以上ESTABLISHED状态的连接，就是遭到了TCP多连接攻击。

       （4）游戏客户端连接游戏服务器失败或登录过程非常缓慢。

       （5）正在游戏的用户突然无法操作或者总是断线。 如何针对这些攻击做好防御呢？ 可以通过高防cdn进行防护。YUNDUN-CDN就是高防cdn的良性服务商。它的节点拥有极大的带宽，各节点承受流量能力很强，网络突发流量增加时能有效应对。YUNDUN-CDN在节点之间建立了智能冗余和动态加速机制，访问流量能实时分配到多个节点上，智能分流。当网站遭受ddos攻击时，加速系统会将攻击流量分散到多个节点，节点与站点服务器压力得到有效分担，网络黑客攻击难度变得很高，服务器管理人员拥有更多的应对时间，可以有效的预防黑客入侵，降低各种ddos攻击对网站带来的影响。YUNDUN-CDN可隐藏服务器源IP，可以有效提升源站服务器的安全系数。如果想通过高防cdn防御ddos攻击，YUNDUN-CDN一定可以帮助到您。

ddos云防护是什么？

       通用防火墙是怎么样防DDOS的，是依靠规则，策略，还是什么？

       首相要判断是什么样的攻击，DDoS是针对IP的攻击，而CC攻击的是网页，DDoS可以用硬件防火墙来过滤攻击，CC攻击本身的请求就是正常的请求，硬件防火墙对他起不到很好的防御效果。

       如果用的云服务器比如腾讯阿里这些都有配套的高防服务，阿里云盾和腾讯的大禹，一般的DDOS攻击应该没什么问题，中等以下规模攻击上面的高防服务器都可以搞定，如果遇到CC就得上高防IP

       储备的知识防御的了小打小闹的问题，解决不了根本痛点，顶多算是和对方打游击。寻求正统的解决办法直接了断吧。

       下面是高防服务器和高防IP的传送门你要了解飞过去吧，我就不复制粘贴了。

       DDoS防护_BGP高防_DDoS攻击防护

       BGP高防IP

       如果是大流量持续性的那你就跟他耗吧，看谁先受不了，毕竟对方也有成本的都是玩钱。

       对了也可以直接联系云服务商的客服，腾讯的客服反应还是很迅速而且有一定的技术支持给你解决突发的情况都是没问题的。

       ddos攻击防护思路？

       1、采用高性能的网络设备首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

       2、尽量避免NAT的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

       3、充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

       4、升级主机服务器硬件在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

       5、把网站做成静态页面大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

       6、增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化TCP/IP堆栈安全》。也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYNCookies》。

       7、安装专业抗DDOS防火墙

       8、其他防御措施以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，只要投资足够深入。

DDoS顶级防火墙 是什么标准

       ddos攻击防御:ddos攻击是什么，如何防御?

       主要通过大量合法的请求占用大量网络资源，从而使合法用户无法得到服务的响应，是目前最强大、最难防御的攻击之一。

       ddos攻击最大的难点在于攻击者发起的攻击的成本远低于防御的成本。比如黑客可以轻易的控制大量肉鸡发起10G，100G的攻击。而要防御这样的攻击10G，100G带宽的成本却是100W，1000W….

       防御手段：

       总体来说，从下面几个方面考虑：

       硬件

       单个主机

       整个服务器系统

       硬件：

       1.增加带宽

       带宽直接决定了承受攻击的能力，增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了，但成本非常高。

       2、提升硬件配置

       在有网络带宽保证的前提下，尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，选用知名度高、口碑好的产品。

       3、硬件防火墙

       将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击

       单个主机:

       1、及时修复系统漏洞，升级安全补丁。

       2、关闭不必要的服务和端口，减少不必要的系统加载项及自启动项，尽可能减少服务器中执行较少的进程，更改工作模式

       3、iptables

       4、严格控制账户权限，禁止root登录，密码登录，修改常用服务的默认端口

       整个服务器系统：

       1.负载均衡

       使用负载均衡将请求被均衡分配到各个服务器上，减少单个服务器的负担。

       2、CDN

       CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的DDoS攻击了。

       3.分布式集群防御

       分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

       DDOS

       防火墙没有等级之分

       各有所长罢了

       比如傲盾防火墙：实时数据包地址、类型过滤可以阻止木马的入侵和危险端口扫描

       金盾防火墙：彻底解决DOS攻击、DDOS攻击、SYN攻击、完整的DDOS防护、DDOS抵御、DDOS防护、DDOS防御

       今天关于“开源流控ddos防火墙”的探讨就到这里了。希望大家能够更深入地了解“开源流控ddos防火墙”，并从我的答案中找到一些灵感。