¿qué es un buen script público disponible de iptables para la mitigación de ddos?

5

¿Qué es un buen script de iptables disponible para la mitigación de ddos?

    
pregunta baj 06.05.2011 - 15:38
fuente

4 respuestas

3

Eche un vistazo a las preguntas sobre:

como las respuestas darán alguna indicación. Básicamente, no puede hacerlo en un dispositivo, ya que la naturaleza distribuida del ataque significa que necesita tener una infraestructura que pueda hacer frente, por lo que los servicios de protección DDoS tienden a proporcionarse junto con los ISP y dependen más del enrutamiento activo y las restricciones de ruta. y filtrado ascendente.

    
respondido por el Rory Alsop 06.05.2011 - 19:31
fuente
1

Lo sentimos, pero no puede protegerse eficazmente contra los ataques DDoS modernos con un servidor de seguridad de software que se ejecuta directamente en el servidor. Las tasas de paquetes pueden ser demasiado altas y / o los paquetes vienen en un puerto válido que tu firewall permite a través de.

Puedes hacer limitación de velocidad básica con iptables. Pero la primera "d" en DDoS significa "distribuido". Hay muchos hosts que participan en el ataque, y cada host puede contribuir a una tasa baja, por lo que la limitación de la tasa puede no ayudar mucho.

Dicho esto, si quieres una herramienta de administración para iptables hay varias opciones. Ubuntu se envía con " ufw "- firewall sin complicaciones , y hace honor a su nombre. Para soluciones un poco más complejas, me gusta mucho Shorewall . Hay muchos otros: vaya a los foros de soporte de su distribución favorita y encontrará muchas opciones.

    
respondido por el Jesper Mortensen 06.05.2011 - 19:16
fuente
0

No es iptables, pero me gusta Roboo .

    
respondido por el atdre 06.05.2011 - 19:00
fuente
0

[Quot: Lo siento, pero no puede protegerse eficazmente contra los ataques DDoS modernos con un firewall de software que se ejecuta directamente en el servidor]

100% correcto. La deflación y el equilibrio de carga son las únicas medidas de mitigación DDoS 100% de prueba completa. Por supuesto, necesitará una configuración de varios servidores o un CDN en la nube para eso. (Para obtener más información, consulte esta revisión comparativa de los proveedores de servicios de seguridad en la nube )

También debo decir que limitar los rangos de IP no solo es inefectivo sino también (potencialmente) perjudicial. Como se mencionó, DDoS utiliza botnet, una red de PC que a veces puede ser un grupo muy grande de IPs inconsistentes.

En este escenario cada vez más frecuente, el bloqueo de un rango de IP "atacante" en realidad puede impedir el acceso de visitantes legítimos, sin impedir el ataque DDoS en sí mismo.

    
respondido por el Igal Zeifman 02.07.2012 - 14:07
fuente

Lea otras preguntas en las etiquetas