DDOS攻击解释

Question

我有一些关于ddos攻击和它是如何工作的问题，我真的需要一些很好的解释，因为我找不到任何好的参考资料可以帮助我。

问题:

1. PPS (每秒数据包)和MBPS之间的关系是什么?如果防火墙丢弃数据包，那么每秒500 k这样的大量pps是否会导致ddos？
2. ddos (如syn/udp洪流)能否仅通过iptables得到完全缓解，并且iptables能够处理任何类型的ddos，涉及其强度和速度，安装在被攻击的同一服务器上的iptables是否能够处理大量的pps，并在没有任何问题或影响性能的情况下丢弃它们？
3. 对于syn洪水，大多数ppl建议使用syn cookie作为缓解syn洪水的完美解决方案，但不幸的是，尝试它并没有帮助，为什么？syn cookie是否有限制或需要在服务器上像文件discriptor那样进行调整？
4. 将服务器上的网卡从100 more升级到1 1gbps是否有助于更好地缓解ddos攻击，还是没有效果？

注:我的意思是，在这种情况下，只升级网络接口，但网络速度仍然相同。

1. 与来自100 10mbps服务器的攻击一样，攻击者的连接速度是否可以每秒钟发送更多的数据包，或者比正常的10 10mbps连接的带宽更大？换句话说，一台连接为1GBPS的服务器能像一个大僵尸网络中的ddosing那样，把整个服务器从一个有100 K个受感染的计算机的家庭连接中取下来吗？

Answer 1

你在这里要更具体些。有几种方法可以执行(D)DoS：

( a) "Application DoS“(不知道是否存在正确的名称)，是网络可以处理流量的地方，但应用服务器(S)不能。也就是说，当传入的通信量低于网络速度时，但是请求的数量超过了应用服务器所能处理的数量。(或者您的代理，或者攻击者连接到的任何东西)

在这种情况下，是的(问题1)，数据包的数量越多，过滤/丢弃它们的负载就越高。但是通常情况下，如果有简单的规则(在特定数量的并发连接之后丢弃数据包)，大多数防火墙可以以线速度工作。如果您有更复杂的规则(L4、L7、.)，并且有大量的规则，那么大量的数据包会产生足够高的负载，使得防火墙能够丢弃所有没有到达缓冲区的数据包(因为它已经被填满了)。

对于iptable(问题2)，情况是一样的。如果只有一个丢弃规则，它将在大量数据包中正常工作。如果您使规则变得更复杂，那么加载就会上升，并且不管规则是什么，内核都会开始丢弃数据包。

Syncookie(问题3)，因为系统不需要为连接保留一些资源，所以可以很好地处理syn洪水。如果僵尸网络计算机使用ack响应syn/ ack，则进行握手，并保留和使用资源。这取决于你用什么测试了同步曲奇。

升级网卡(问题4)取决于网络/互联网提供商。如果你有一个20/20兆位的线路，不管你有一个100 20mbit或1G卡，因为你是由你的ISP限制。如果你有200兆位的线路，拥有一张千兆位卡会有很大帮助(但为什么你会有一张100 with卡，并提供200 with的服务？？)

(D)DoS攻击流量大于网络/互联网连接速度。这是攻击者向您发送更多通信量的时候(不管是哪个- tcp、udp、icmp、.)你的网络连接所能处理的。如果发生这种情况，你基本上就完蛋了，没有你(！)能行的。当然，你可以打电话给你的ISP，并安排他们对你进行防火墙(只要允许从你的国家连接等等)，如果他们能做到，如果你负担得起的话。

从理论上讲，DDoSing的计算机数量与之无关。如果您有10 10mbit行，并且攻击者发送100 10mbit的UDP通信量，则您的连接“停止工作”。不管流量来自1台拥有100 1mbit线的pc，还是来自100 1mbit线的100 pc。但对于ISP来说，阻止1 ip比阻止100、1000或数百万不同ip要容易得多，而且更难知道哪些流量是合法的(人们想要您的服务)，哪些是恶意攻击流量。

Answer 2

每秒分组(pps)和兆比特每秒(Mbps)相关如下：

Megabit per second = Packet per second * packet size (bits) / 1,000,000

iptables可以帮助您控制DDOS攻击，但问题是如何区分攻击请求和合法请求。是的，您可以在网关和服务器上使用iptable。

我不认为升级你的网卡或改变它的速度会对防御DDOS攻击的能力有任何影响，因为在大多数情况下，你的带宽比接口速度低得多。