冰盾防护SYN攻击问答
作者:冰盾科技 网站:www.bingdun.com
一、冰盾到底能防护多少SYN攻击包?
答:冰盾产品本身从理论上讲可防护无限个SYN攻击包,并没有做任何限制,完全取决于用户的主机硬件配置和网络带宽,但为什么有的主机几万个SYN包就不行了呢?造成这现象的大多原因在于主机的硬件配置太低或网络带宽受限制造成的。一般来说用户的主机硬件配置要不低于P4 2.4G/512M/36G-SCSI才具备不低于10万以上的SYN攻击,与带宽的大致参考关系如下:
| 带宽(兆) |
理论防护SYN数量(个) |
实际防护SYN数量(个) |
| 1M |
2048 |
约占理论数量的90%左右 |
| 2M |
4096 |
| 3M |
6144 |
| 5M |
1,0240 |
| 10M |
2,0480 |
| 20M |
4,0960 |
| 50M |
10,2400 |
| 100M |
20,4800 |
特别说明:上表是假定最常见的SYN攻击包大小为64字节进行计算的,事实上,更小的攻击SYN包可为50多个字节,因此有的用户安装冰盾后会发现10M的带宽防护SYN可达到2.5万个,这也就不奇怪了。
二、我的高配置主机在100M共享下怎么只能防护几千个SYN包?
答:这种现象非常普遍,大多数情况下是由于你的网络提供商ISP限制了你的网络带宽造成的,最常见的是ISP虽然给你的是100M共享,并且你主机上的网卡显示的也是100M,但这并不意味着你最大可利用到100M,因为大多ISP会在你主机接入的交换机端口上限制你的最大带宽为2M(不同的ISP限制的数量不同),这样做的目的是保证其他用户的带宽以增加ISP的收益,假如你当初签订托管协议的时候没有注意这点,那么现在就立即致电你的ISP商询问关于带宽方面的问题,相信ISP肯定会给你一个解释,再就是你可以自己测试一下实际分配给你的大致带宽,可通过在外网的其他主机用SYNKiller等SYN压力测试工具进行测试,若发现无论多大的发包量,你主机接收到的包始终停留在某个最大值,则根据该最大值参考上表提供的数据你就可知道ISP给你限制的带宽了。因此,假如你无法解决带宽问题的话,安装任何防火墙都是无济于事的,解决方法就是要求ISP去掉限制或者改换托管机房,那么问题就会迎刃而解。
冰盾(中国)科技
领先的专业级抗DDOS防火墙提供商
电话:010-51661195
网站:http://www.bingdun.com
QQ:2600725 |
