[教學] 避免個人路由器被DDoS攻擊癱瘓

gfx
個人積分：1603分
文章編號：56650309

1603分

樓主

2015-07-16 1:08

DNS放大(反射)攻擊簡介
攻擊者(Attacker or Zombie)將DNS查詢封包中的Source IP偽造成Victim IP,
向設定不良之Open DNS server送出大量查詢封包(small packet size),
DNS server則會將大量查詢結果(big packet size)傳到Victim IP ,
以DDoS的方式癱瘓受害者的網路資源與主機資源.
2013年三月歐洲反垃圾郵件組織Spamhaus即是遭此DDoS攻擊,攻擊流量高達300Gbps.
(引用: 國立台灣大學計算機及網路資訊中心)

對於DDoS攻勢,使用者可啟用路由器的DoS防護.
[教學] 避免個人路由器被DDoS攻擊癱瘓

若是路由器本身沒firewall filter功能,如:P880 /P883 數據機
這也沒有關係,您可以用Virtual-Server來達成.
[教學] 避免個人路由器被DDoS攻擊癱瘓

將wan-interface=ppp0.3 protocol=udp dst-port=53 的封包
映射至127.0.0.1（Loopback Address）即可.

2015-07-16 1:08 發佈

文章關鍵字教學路由器 DDOS攻擊

viphone

viphone
個人積分：274分
文章編號：56653555

274分

2樓

2015-07-16 10:49

不過面對這鋪天蓋地的DDoS 相信這兩個家用等級的分享器也是擋不下來的
另外 DDoS是要消耗你主機的資源
當你的分享器或防火牆忙於處理這些request時也沒有餘力處理正常封包了

3C的世界裡，別滿腦子只想著"超值"。就像無線網路一樣，別人推薦的，只適用在他家的環境，到了你家又是另外一回事。小烏龜牽到北京也不會變成千里馬。

Rayearth

Rayearth
個人積分：12分
文章編號：56670157

12分

3樓

2015-07-17 14:03

gfx wrote:
對於DDoS攻勢,使用者可啟用路由器的DoS防護...(恕刪)

DDOS（Distributed Denial of Service）跟DOS（Denial of Service）不一樣啦～

樓主舉的例子如果駭客所操弄的Open DNS Server只有一台，這樣對受害者來說算是DOS攻擊。

DOS只有一個對手所以還好解決，只要屏蔽指定IP就好。

但是如果駭客操弄的Open DNS Server有很多台的話，這樣算是DDOS攻擊。

DDOS是被一堆肉雞（駭客操弄的電腦）圍毆，樓主介紹的設備應該檔不住DDOS的大量攻擊呦！

另外，樓主說的案例只是其中一種DDOS的攻擊方式，第二種解決方案也只能針對這種攻擊（DNS放大攻擊） sorry

NeverGiveUp!!!

NeverGiveUp!!!
個人積分：58分
文章編號：60084049

58分

4樓

2016-05-04 4:16

沒錯．基本上不論是針對ＤＮＳ或其餘的ＤＤｏＳ．
ＲｏｕｔｅｒＯＳ在這關都能過．
（規則都參與原廠制造．尤其是針對網攻的犯罪垃圾集團．
參照台灣某用戶的紀錄．不得不佩服台人的漏洞鑽到底之精神．
就算裝置綁ＭＡＣ．連其他品牌路由中繼隱登入（漏洞）也不放過．
該嘗試的漏洞都試得很徹底．所以腦筋動在這一塊領域到最徹底的盡頭．
絕對與跨國搞電信詐騙實在是跟這些（重操舊／副業）不難不連聯想在一起．）
針對ＤＮＳ做攻擊的非全天無休．
某時段也是要休息的（數個時辰）．
非ＤＮＳ攻擊的．基本上是無限圈圈．
這就要看電信商的機房維護．