很有名的防止DoS模块 dosevasive

mod_throttle 我早就安全了，但好象也不理想，现在我的SERVER上安装了好多防止DDOS的东东，但别人一样的攻击，我都快昏了…

本来占用的资源不大，但一攻击，往往比正常资源占用还大呀…

从软件上来防御DDOS，估计可能性不大！

还是靠硬件的好！

loveyuki，硬件防火墙就是
工控机+UNIX+防火墙软件（从iptable,ipchains,ipfilter等软件源代码上面改的）

就是一台UNIX主机而已，国内好象还没有一家真正做到全部固化到硬件里面的

Originally posted by cqfanli at 2003-9-12 10:53 AM:
loveyuki，硬件防火墙就是
工控机+UNIX+防火墙软件（从iptable,ipchains,ipfilter等软件源代码上面改的）

就是一台UNIX主机而已，国内好象还没有一家真正做到全部固化到硬件里面的

嗯，这个我知道，但是我是从下面的方面考虑的！

软件防火墙一般都是安装在服务器上的，如果遭到攻击的话，防火墙占用的资源将会大大的增加，而硬件防火墙是放在服务器上一层的！对于攻击，防御的效果应该能好点！不知道理解对不对！

呵呵

主要是它的缓冲池的大小，国内最有名的防火墙，黑洞，就是把防的功能和容量做在一起的！

都说海纳百川，有容乃大嘛

对啊，有名的SYN_FLOOD攻击就是使服务器的内存耗尽而死机！

这样的话，用软件防火墙可以说是雪上加霜吧！呵呵

目前国内唯一能防御SYN_FLOOD的东西就是"黑洞"
是一个FreeBSD的盒子(就是里面装的是FreeBSD)

Originally posted by Crossday at 2003-9-4 04:17 PM:
limitipconn有用的 我测试过很多次 但那个东西好像有点BUG,另外他是以飞速的结束进程然后飞速的接受攻击来实现的 被攻击的时候还是有好多进程 占用大量内存 最好是能用一个进程阻碍来自同一地方的新进程 有一个叫 ...

用limitipconn除了能限制刷论坛的攻击方式外,重要一点是可以用来查error日志,获得攻击的ip地址,从而利用iptables之类的fw进行ip屏蔽,所以死也死的值得..总比被攻击还不知道怎么回事的好.

梦飞说的不错，所谓软硬防火墙其实就是个BSD，而且通常将防火墙置于多台服务器前端，这样的网络结构一旦受到攻击，防火墙就最先因为资源耗尽而死掉。加个防火墙还不如不加，所以，好多站用多服务器做负载均衡来分担攻击，呵呵。好像防火墙也有可以双机热备、防火墙集群的，原理一样啊。

不过黑洞是个无IP的桥，无法对黑洞进行攻击，比较建议使用黑洞。

一些防火墙也带了黑洞模块，但是通用防火墙从跟本意思上说，是无法防止攻击的，使用ddos攻克防火墙只是攻击时间与攻击力度的问题。

不过上防火墙总是有些用处的，必竟这方面等于交给安全公司来做了，总归会比自已上模块，写规则强的多了。

不错