PDA

View Full Version : جلوگیری از DDOS با تجهیزاتی غیر از کامپیوتر


cardano7
شنبه 11 خرداد 1392, 19:04 عصر
سلام
این تاپیک ممکنه کمی عجیب به نظر برسه.
وقتی DDOS به کسی می زنند، اون قدر پکت براش فرستاده میشه که طرف نمی تونه اونها رو حتی پردازش کنه. چرا؟ چون 1000 تا کامپبوتر می ریزند سر یکی.
حالا اگر ما به جای کامپیوتر یک بررسی کننده ی اولیه با توان خیلی بالاتر از کامپیوتر مثلا FPGA داشته باشیم که قبل از کامپیوتر سرور پکت های مهاجم را فیلتر کنه، آیا می شود جلوی DDOS را گرفت؟

با سپاس
mhsaleh
سه شنبه 14 خرداد 1392, 18:13 عصر
خوب مسئله اصلی فقط سر پردازش نیست. پهنای باند معمولاً خیلی زودتر کم میاره. اگه ارتباط اینترنت یک سرور ۱۰ مگ باشه من با ۱۰ زامبی که پهنای باند ۱ مگ دارند می تونم جلوی سرویسشو بگیرم. لذا این حالت شایع تر هستش. برای کنترل ترافیک هم نیاز به FPGA و پردازنده های خیلی خاص نیست. مگه حجم ترافیک چقدر می تونه باشه؟! الان خیلی از فایروال ها می تونن جلو این نوع حمله را بگیرند.
نکته خیلی خیلی مهم توی DDoS که کار رو خیلی سخت می کنه اینه که چطور تشخیص بدیم DDoS رخ داده. فرض کنید شما یک وب سرور دارید که قراره همه امکان بازدید از اون را داشته باشند. وب سرور شما به لحاظ منابعی که در اختیار داره امکان ۱۰۰ کاربر در لحظه را دارد. حالا اگه من لینک وب سرور شما را یه جایی بذارم که روش در لحظه ۱۰۰۰ کلیک بشه مسلماً سرویس شما مختل خواهد شد. مشکل اصلی اینه که ممکنه تو همین لحظه شما یک کار خیلی مهم با سرورتون داشته باشین اما متاسفانه منابع سرور شما برای بازدید دیگران هدر می رود.
به قول یکی از اساتید فرض کنید من شماره تلفن خونه شما رو تو روزنامه آگهی کنم و بگم مثلاً وام بلا عوض. از فردا همه شروع به زنگ زدن می کنن و تلفن شما مشغول خواهد شد. دیگه نه می تونید به بیرون زنگ بزنید نه کسی با شما تماس بگیره. حتی اگه کار اضطراری داشته باشید.
joker
سه شنبه 14 خرداد 1392, 19:25 عصر
سلام
این تاپیک ممکنه کمی عجیب به نظر برسه.
وقتی DDOS به کسی می زنند، اون قدر پکت براش فرستاده میشه که طرف نمی تونه اونها رو حتی پردازش کنه. چرا؟ چون 1000 تا کامپبوتر می ریزند سر یکی.
حالا اگر ما به جای کامپیوتر یک بررسی کننده ی اولیه با توان خیلی بالاتر از کامپیوتر مثلا FPGA داشته باشیم که قبل از کامپیوتر سرور پکت های مهاجم را فیلتر کنه، آیا می شود جلوی DDOS را گرفت؟

با سپاس
تا مادامي كه پهناي باند آزادي قبل از ورودي اصلي اين شبكه وجود داشته باشه اين كار جواب ميده. ولي اگه ميزان پكتهاي DDOs به حدي باشه كه پهناي باند ورودي اين شبكه را پر كنه عملا با دراپ كردن پكتها در اين دستگاه مورد نظر هم كاري از پيش نميره. البته اين قسمت آخر جمله به اين معني نيست كه اگه همچين دستگاهي ساختي بي استفاده هست . خودم مشتريت ميشم.

در مواردي كه حملات گسترده اي انجام ميشه معمولا به پروايدر بادستي ميگن يه نال روت بنويسه براي رنج اي پي حمله كننده . پروايدرها هم معمولا تجهيزات و پهناي باند لازم را دارند كه نگران پكتهاي اينطوري نباشند و پهناي باند و cpu اونها نچسبه به طاق.
ولي در لايه هاي بعدي وجود يك همچين دستگاهي خودش كلي نعمته :)