Cisco ASA 5505 能否阻止这种 DDoS 攻击?

信息安全 防火墙 ddos 拒绝服务 tcp 思科
2021-08-16 21:43:59

从一个多星期前开始,我的专用服务器(位于 ovh.com)一直受到 TCP SYN(我认为)攻击。OVH 不关心它,但是这种攻击正在以高 CPU 负载杀死我的服务器(在最高时刻永久 100%)。

我可以选择在我的主机上添加 Cisco ASA 5505,我想知道我是否真的可以用它阻止此类攻击。有没有人有这个防火墙的经验?

如果我正确解析了日志,我每分钟通过两个端口收到大约 550 个不同的 IP 垃圾邮件 TCP SYN 数据包(总共 18320 个数据包)。(我不能改变这些端口,如果我改变了,攻击者也会立即改变他的攻击)。

在高峰时刻,我计算出每分钟超过 2.000 个不同的 IP(36640 个数据包)完全相同。

他们还在我的站点上进行 GET 攻击,这个 Cisco ASA 5505 可以对此做些什么吗?

另外,我想知道如何从攻击中“计算” Mbps/Gbps。

我已经测试了几乎所有,阻止了所有 IP,更改了服务器 IP,更改了 edport,甚至远程代理 DDoS 保护,但没有成功。

我用 WireShark(可以用记事本打开)记录了这个日志一分钟多,“合法”流量为 0,所以所有这些流量都是攻击。是日志。

1个回答

您在这里有许多单独的查询,所以我会尝试解决它们。

如果您有 IP 地址,那么是的,您可以阻止 5505 - 这非常简单 - 只需将 IP 地址添加到阻止列表(或根据您的需要,阻止除来自已知良好 IP 的流量之外的所有内容 - 白名单)

思科提供 SYN 洪水保护 - 值得一看,看看它是否适合您的特定情况。这是非常基本的,但在某些情况下效果很好。

5505 对 GET 请求没有帮助——你需要一个支持 Deep Inspect 的防火墙。根据您的网络服务器,您可能可以在此处执行此操作。

你说代理 ddos​​ 缓解没有用。这实际上是数千家公司使用的非常有用且成功的解决方案,因此您可能需要看看您是如何使用它的。

其它你可能感兴趣的问题
上一篇如何处理在第三方网站上发现的安全问题? 下一篇作为攻击的结果;public_html 中的随机文件夹和文件。这是怎样的攻击?