[patrikweb]

Finns ju 2 typer av D(D)oS, ena som går ut på fylla linan och andra är för att få det att dö på annat vis exempelvis en Syn Flood.

[wooper]

Som tidigae nämnt (av PatrikWeb) är de färdiga brandväggarna oftast bara dyrt krims-krams som ändå bygger på en BSD/Unix kärna.

Jag rekommenderar dig (om kunskap och tid finns) att istället investera i en egen server som kör PFSense www.pfsense.org vilket är en mycket pålitlig, skalbar och avancerad brandvägg. Bygger f.ö. på Shorewall som tidigare nämnts.

[Danielos]

Tack wooper, jag har testat att installera PFSense på en dl320 och den installerade klockrent, så det verkar som om det blir det!

[emilv]

Fördelen med BSD/pf över Linux/iptables är att den förra klarar fler samtidiga uppkopplingar.

DDoS-attacker är alltid svårt att värja sig emot, särskilt när de bygger på SYN-attacker (där inget motsvarande ACK-paket skickas och uppkopplingen därmed hålls öppen en viss tid i väntan på svar). Även att droppa paket kräver en viss beräkningskapacitet av maskinen som ju måste avgöra om det tillhör en redan öppen/tillåten uppkoppling eller om det ska kastas bort. På det området är BSD överlägset Linux.

[klein]

Citat:

Originally posted by danielos@Apr 9 2008, 17:21
Jag letar med ljus och lykta efter en brandvägg som ger även dos skydd. De flesta jag hittar inkl ingate och Sonic Wall har mkt sparsamt med dos skydd.

Jag vill åt en brandvägg där man kan kan sätta att ett IP inte kan access amer än 40-50 ggr per sekund tex.

Är det någon som har något tips?

Du behöver följande

1 st Dator
1 st OpenBSD/FreeBSD .
1 st Hyr in rätt komptens och konfigurera grejerna.

Så kommer du undan för 1/2 priset och det blir rätt gjort.

DDOS är knepiga och skydda sig emot.

[magic]

Dos är nästan omöjligt att skydda sig mot med en enkel brandvägg.
Du måste även ha bandbredd annars sänker de din lina.

[Norman]

Vi fick en DDoS på en lina där vi har bra brandvägg. Tyvärr var just den linan endast 100mbit. Även om vi kunde droppa alla paket från att gå vidare till den drabbade maskinen så är det just wirespeed som var avgörande.

Bara att dra trafiken över gigabitlänk och käka den där istället tills attacken minskade. (ca 2h)