DDoS原理及商業上預防方法 (舊Post重貼)

http://space.10gtechnology.com/ddos-1.jpg

http://space.10gtechnology.com/ddos-2.jpg

http://space.10gtechnology.com/ddos-3.jpg

http://space.10gtechnology.com/ddos-4.jpg

http://space.10gtechnology.com/ddos-5.jpg

第一次用網頁版, 唔知出唔出到圖

d圖好得意

一DD正確。之前係hkg睇到呢個post，一笑致之。真係唔想教班垃圾。

其實firewall唔係咁用來block 曬D traffic。

一個好的firewall，係可以頂到多少DDoS。例如限制每個 ip 個 request hit。舉個例子，同一個 ip 每秒只可以有 200 個 request，超過 200 個就 drop。咁樣已經可以隔左大半。

有興趣我再講多D 攻防策略同實施方法。

皮已正

照我理解
akamai 強項係 DNS level 擋
cloudflare 強在嚮 HTTP level 做 caching
不過其實兩間公司都可以擋到 DNS / HTTP ddos
是咪咁

利申無實戰經驗

一個好的firewall，係可以頂到多少DDoS。例如限制每個 ip 個 request hit。舉個例子，同一個 ip 每秒只可以有 200 個 request，超過 200 個就 drop。咁樣已經可以隔左大半。

有興趣我再講多D 攻防策略同實施方法。

原理係咪好似 fail2ban 咁
不過嚮 filter regex 改到連 success 都 ban 埋

我知用 fail2ban 黎擋 ddos 實死得
不過原理係咪類似？

一個好的firewall，係可以頂到多少DDoS。例如限制每個 ip 個 request hit。舉個例子，同一個 ip 每秒只可以有 200 個 request，超過 200 個就 drop。咁樣已經可以隔左大半。

有興趣我再講多D 攻防策略同實施方法。

原理係咪好似 fail2ban 咁
不過嚮 filter regex 改到連 success 都 ban 埋

我知用 fail2ban 黎擋 ddos 實死得
不過原理係咪類似？

類似，不過 fail2ban 係真係 ban 鬼左佢，唔識自己放返，要人手放。而firewall佢真係同你count住呢粒ip每秒有幾多個request。

而fail2ban點解會死，係因為我上面咁講，佢真係會ban左，而且新世代DDoS係會轉IP，唔會用死一個ip。所以你用fail2ban的話，佢個ban list就會好長。當個database大到連部機負荷唔到的話，唔死就出奇啦。

其實我想講既重點, 唔係講Firewall, 係講要防DDoS, 係要由一條大水喉開始, 無呢條大水喉, 你咩Firewall都無用.

記住, DDoS既目標, 唔係你部Server, 係你對上個DataCenter既Network, 如果個DataCenter係無防DDoS既架構, 一炸就可以炸死成個DataCenter.

一個好的firewall，係可以頂到多少DDoS。例如限制每個 ip 個 request hit。舉個例子，同一個 ip 每秒只可以有 200 個 request，超過 200 個就 drop。咁樣已經可以隔左大半。

有興趣我再講多D 攻防策略同實施方法。

原理係咪好似 fail2ban 咁
不過嚮 filter regex 改到連 success 都 ban 埋

我知用 fail2ban 黎擋 ddos 實死得
不過原理係咪類似？

類似，不過 fail2ban 係真係 ban 鬼左佢，唔識自己放返，要人手放。而firewall佢真係同你count住呢粒ip每秒有幾多個request。

而fail2ban點解會死，係因為我上面咁講，佢真係會ban左，而且新世代DDoS係會轉IP，唔會用死一個ip。所以你用fail2ban的話，佢個ban list就會好長。當個database大到連部機負荷唔到的話，唔死就出奇啦。

DDoS第一個D, 已經係講緊由全球多個地方唔同既IP黎炸囉....

其實我想講既重點, 唔係講Firewall, 係講要防DDoS, 係要由一條大水喉開始, 無呢條大水喉, 你咩Firewall都無用.

記住, DDoS既目標, 唔係你部Server, 係你對上個DataCenter既Network, 如果個DataCenter係無防DDoS既架構, 一炸就可以炸死成個DataCenter.

你有水喉，洩漏左你粒真 ip，咪一樣死～

鬼唔知 akamai 好咩，睇下咩價錢先得架～

其實有邊個真係明咩係DDoS......

留名

其實我想講既重點, 唔係講Firewall, 係講要防DDoS, 係要由一條大水喉開始, 無呢條大水喉, 你咩Firewall都無用.

記住, DDoS既目標, 唔係你部Server, 係你對上個DataCenter既Network, 如果個DataCenter係無防DDoS既架構, 一炸就可以炸死成個DataCenter.

你有水喉，洩漏左你粒真 ip，咪一樣死～

鬼唔知 akamai 好咩，睇下咩價錢先得架～

洩漏左你粒真 ip有咩問題???
全世界都係Public IP, 係Internet上都可以見到好多Public IP,
好多DataCenter都會用Public IP黎見人, 咁有咩風險?
(我唔慣叫真IP,因為IP無分真假,只有Public同Private)

究竟有無人睇得明我講緊既野.....

其實有邊個真係明咩係DDoS......

其實有邊個真係deal過DDoS？有幾多人比人真炸過？你真係當你個server係咩大站？

讓我再簡單D黎個總結:

你有個website, 你前面用隻50萬既Juniper SRX3600 firewall都好,
係on9的, 真正既DDoS, Firewall係保護唔到你的.

希望有真係識Network既人明白我

其實我想講既重點, 唔係講Firewall, 係講要防DDoS, 係要由一條大水喉開始, 無呢條大水喉, 你咩Firewall都無用.

記住, DDoS既目標, 唔係你部Server, 係你對上個DataCenter既Network, 如果個DataCenter係無防DDoS既架構, 一炸就可以炸死成個DataCenter.

你有水喉，洩漏左你粒真 ip，咪一樣死～

鬼唔知 akamai 好咩，睇下咩價錢先得架～

洩漏左你粒真 ip有咩問題???
全世界都係Public IP, 係Internet上都可以見到好多Public IP,
好多DataCenter都會用Public IP黎見人, 咁有咩風險?
(我唔慣叫真IP,因為IP無分真假,只有Public同Private)

究竟有無人睇得明我講緊既野.....

咁你唔係真係識。你知唔知cloudflare/akamai點運作？

其實有邊個真係明咩係DDoS......

其實有邊個真係deal過DDoS？有幾多人比人真炸過？你真係當你個server係咩大站？

你唔係做呢D大野, 唔代表其他人唔係......

一DD正確。之前係hkg睇到呢個post，一笑致之。真係唔想教班垃圾。

其實firewall唔係咁用來block 曬D traffic。

一個好的firewall，係可以頂到多少DDoS。例如限制每個 ip 個 request hit。舉個例子，同一個 ip 每秒只可以有 200 個 request，超過 200 個就 drop。咁樣已經可以隔左大半。

有興趣我再講多D 攻防策略同實施方法。

其實有邊個真係明咩係DDoS......

其實有邊個真係deal過DDoS？有幾多人比人真炸過？你真係當你個server係咩大站？

你唔係做呢D大野, 唔代表其他人唔係......

知你做到好大啦，得未？

讓我再簡單D黎個總結:

你有個website, 你前面用隻50萬既Juniper SRX3600 firewall都好,
係on9的, 真正既DDoS, Firewall係保護唔到你的.

希望有真係識Network既人明白我

ddos 好似可以整到個firewall都收皮

利申：電腦網路完全比番阿蛇

算吧.......我唔識DDoS, 我潛水!

唔想同行外人爭論.

呢度有個人好熟防DDoS, 一定係玩開Network既勁人,
平時係提供Solution比DataCenter去點樣保護成個DataCenter個Network,
都係比返高人答, 我都係收皮把啦.......

算吧.......我唔識DDoS, 我潛水!

唔想同行外人爭論.

你要明白，電腦世界係全球人黎講只得上唔上到網，。
讀電腦既人先知你講咩，讀完書咁耐都仲未看破紅塵咩巴打？

留名

pish