讨论一下如何防范SYN-FLOOD攻击的问题

夜鹰007

用硬件防火墙也许可以最大能量得抵挡DDOS攻击了，
听说用硬件防火墙要建立四次握手哦，，我也不是很明白，
是我原来公司的网络工程师说的，
结果我原来公司的那些硬件防火墙，可以抵挡30万包以上的DDOS攻击```

夜鹰007

原帖由 JohnBull 于 2004-6-1 13:10 发表

RST没用的,应该FIN.
但这么做与SYN COOKIE或者六次握手从效果上有什么本质区别呢?况且你还得要求交换机有SPAN口以及增加新设备.


这个方法也早就过时了,现在Linux防火墙能搞定这种攻击,不知FreeBSD\行否.
...

我赞同，我也认为DOS和DDOS本质是没什么区别的，
只是规模和范围的问题

gyce

虽然说DOS和DDOS在本质上没什么区别，但是它们造成的后果却是不一样的。当量变累积到一定程度就会成为质变。可以解决DOS攻击的技术，在DDOS面前可能就会无能为力

bug_4ever

很早以前注意过这方面的anti-ddos fw.
但是实际上修改了tcp 协议，增加 tcp握手的次数，或者作 syn-cookie 来防止fw后host被消耗掉不必要的资源。

单主机抵御ddos或者dos，前途不甚明朗吧

window4

顶一下 好像问题还没解决

hellboy_zhang

硬防来搞还是不错的1

broceliu

各位回答 的都很精彩    :em11:

folboy

<IfModule mod_evasive20.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   1000000000
</IfModule>


我用这个挺管用的，甚至还防采集

wendaozhe

新版的iptables中的hashlimit和recent模块也能启到些作用，不过没有做过大强度的测试，大家有空可以试试。