ddos攻击可以防御吗_防火墙的防ddos攻击吗

hacker|
300

为何防火墙和IPS不能有效应对DDoS攻击?

Radware专家告诫这部分企业万万不能掉以轻心,完全依靠防火墙和IPS来防范愈演愈烈的DDoS攻击。

在过去的2012年,发生了很多起DoS和DDoS攻击事件,Radware紧急响应团队(ERT)于2013年年初发布的一份年度安全报告详细描述了这些攻击事件,并且在报告中指出,在33%的DoS和DDoS攻击事件中,防火墙和IPS设备变成了主要的瓶颈设备。

答案很简单,防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为,而非为了探测那些被百万次发送的貌似合法数据包的组合行为。为了更好说明这一观点,接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。

防火墙和IPS是状态监测设备

作为状态监测设备,防火墙和IPS可以跟踪检查所有连接,并将其存储在连接表里。每个数据包都与连接表相匹配,以确认该数据包是通过已经建立的合法连接进行传输的。

一个典型的连接表可以存储成千上万个活动连接,足以满足正常的 *** 访问活动。但是,DDoS攻击每秒可能会发送数千个数据包。作为企业 *** 中处理流量的窗口设备,防火墙或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项,这会导致连接表空间被快速耗尽。一旦连接表达到其更大容量,就不再允许打开新的连接,最终会阻止合法用户建立连接。

专用的DDoS攻击缓解设备使用的是一种无状态保护机制,它可以处理数百万个连接尝试,无需连接表项的介入,也不会导致其它系统资源的耗尽。

防火墙和IPS不能区分恶意用户和合法用户

诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的,防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会话的行为进行全面观察与分析的能力,只能对单个会话进行检测,这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。

防火墙和IPS在 *** 中的部署位置不合适

防止DDoS攻击的设备必须位于 *** 安全防范的最前线,但是防火墙和IPS部署在靠近被保护服务器的位置,并不是作为之一道防线使用,这将导致DDoS攻击成功入侵数据中心。专用DDoS攻击缓解设备通常部署在接入路由之前,这样可以保证尽早检测到攻击。

毫无疑问,日益泛滥的DoS及DDoS攻击以及攻击趋势的复杂化已经从根本上改变了当前的安全环境。企业急需适时调整自己的安全架构以有效应对不断增多的DoS攻击,同时所部署的安全工具也必须不断升级更新与时俱进。

用防火墙可以防御DDoS吗?

这个得看你买的防火墙具体防护能力。现在很多厂商是有提供死扛流量的套餐,不过很贵就是了,只要你有钱,防是肯定能防得下来的。

防火墙到底能不能防DDOS

DDoS防火墙其自主研发的独特抗攻击算法,高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、 *** CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击,传奇假人攻击、论坛假人攻击、非TCP/IP协议层攻击、等多种未知攻击。各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,具备远处 *** 监控和数据包分析功能,能够迅速获取、分析最新的攻击特征,防御最新的攻击手段。

ddos防火墙是什么原理?真的是有用的吗?

专业的DDOS 防火墙肯定对DDOS 有用的,当然,这个问题也不能100% 来说,毕竟,DDOS 绝对是不能100% 防御了的。 从某一品牌来说,有没有用直接看客户使用量及 *** 知名度就知晓了。

而技术嘛,简单讲得话,是根据DDOS攻击的原理,来做出的规则等方面技术来防御DDOS.

什么么防火墙能防御DDOS攻击呢?谢谢了,大神帮忙啊

用防火墙能防御DDOS流量攻击么? 回答:防火墙只是起一个访问控制的作用。也就是允许某某访问某某,不允许某某访问某某,所谓的防攻击之类的功能其实是无法实现的,现在的防火墙所宣称的能够防护什么什么攻击,完全是忽悠。就算防火墙中有这样的功能。那也只是另外一种防火墙了,俗称UTM。但是在UTM上如果使用这样的功能的话。一旦遇到了DDOS攻击。。UTM由于自身的芯片处理能力不够(功能太多),一般都会死机。现在真正能做到防御DDOS流量攻击的,有黑洞等硬件设备,它起一个引导作用,会识别那些流量是DDOS流量还是正常的访问流量,从而达到允许正常流量访问。引导DDOS流量进入黑洞。 DDOS流量攻击怎么解释呢? 回答:DDOS流量攻击也就是分布式拒绝服务攻击,由多台机器多个IP对某个IP进行TCP连接。TCP连接分三步:访问者发出指令;被访问者回应该指令;访问者确认指令。 DDOS就是利用这个原理,不断的向被攻击者发出访问请求,被攻击者由于攻击者的访问请求过多,一直在处理这些无用的请求,导致其他的正常请求无法被处理。也就是无法回应正常的请求,这样就造成正常访问被主机拒绝服务。

麻烦采纳,谢谢!

用防火墙可以防御DDoS攻击吗?

防火墙通过监视和跟踪允许的 *** 流量、数据包,来提供周边访问控制。在很多方面,防火墙扮演着 *** “交通警察”的角色。它允许好的、正常的数据包,不受阻碍地访问服务器,同时阻止坏的、异常的数据包访问服务器的 *** 。防火墙可以有助于检测进入的恶意流量,但是在对于已进入的恶意流量,在防御上没有太大的能力。

很多租用服务器的企业用户,单单依靠防火墙来缓解DDos攻击.但仅依靠硬件防火墙抵御DDos攻击,防御能力一般在30Gbps以内,并且服务价格昂贵。这些使用传统防火墙抵御DDos攻击的企业用户认为,防火墙可以更新,这样可以有效地防止DDos攻击。然而事实并非如此,防火墙一般依照系统管理员预先定义好的规则,来控制数据包的进出,它是一台专属的硬件或是架设在一般硬件上的一套软件。大多数防火墙,并没有对DDos攻击进行针对性的改进和设计,也因此难以承受和抵御大规模的、多种类型的DDos攻击。

这里主要有两个原因:

一、 防火墙受制于带宽,容易被攻破

防火墙和其他本地硬件,所享有的带宽是非常有限的,其中包括企业租用的带宽规模。

当DDos攻击的规模超过“20—30G”时,该带宽会迅速变得不堪重负,进而出现防御崩溃。

二、 防火墙规则管理

防火墙定义的规则管理,有时候会被伪装成合法正常流量的“恶意流量”所愚弄,就像“SYN Flood”(一种DDos攻击类型)一样。

所以,提供深度数据包、流量检测,可针对性地调整流量清洗规则,为对抗各种类型的DDos攻击提供具体对策的解决方案,比防火墙使用规则管理的静态操作更加行之有效。

因此,防火墙只是防御策略的一部分,而不是一个完整的解决方案。想要更加全面有效地防御DDos攻击,就绝不能仅仅依靠防火墙来解决,还需要结合其他技术和设备进行防御。

防御吧高防服务器,专业抗DDos攻击,具有“超大防护带宽、超强清洗能力、全业务场景支持”的特点。防御吧在部署高防服务器的高防机房,接入了T级(1000G)超大防护带宽,单机(单台高防服务器)防御峰值更高可达数百G,并附有CC攻击的防御能力,可防御超大规模的DDos攻击和高密度的CC攻击

0条大神的评论

发表评论