何謂DDoS攻擊?
單純就純字面來解釋的話,DDoS攻擊可能有許多種類:SYN flood, 利用大量的TCP syn packet,使網站無法再接受新的連線。然而實務上,敝公司處理過的cases中,幾乎全部都是Http Get flood,也就是說是大量的http get request造成網站無法連線。如果是SYN flood的話,其實簡單的iptables rule就可以擋下來了。然而,如果是http get flood的話,基本上,設定任何的iptables rules都不會有效果。有人會問,那無限流量的虛擬主機對此有效嗎? 一般而言,國外的虛擬主機雖然寫「無限流量」,即所謂的unlimited transfer,所以即使被攻擊不會向客戶多收取暴增的流量費用。但是被攻擊時,網站一樣是不能動彈。
DDoS防火牆之工作原理:客戶端的流量,將通過防火牆的過瀘,因此可以有效減輕DDoS攻擊時Server的負擔。現代的駭客發動的DDoS攻擊都是layer 7,即Application layer的攻擊為主。由於linux固有的iptables無法解析application layer的封包資訊,所以iptables無法阻斷這一類的攻擊。能阻斷layer 7攻擊的防火牆,又稱之為Web Application Firewall
| 流量過瀘防火牆 | Plan A | Plan B |
|---|---|---|
| 最大頻寬限制 | 100m bps (bits/sec) | 100~1000m bps (bits/sec) |
| 資料流量 | 1TB | 5TB |
| 域名限制 | 1 | 10 |
| 後端負載平衡 | 有 | 有 |
| 月繳 | $1500 台幣 | $7000 台幣 |
| 現在訂購 | 現在訂購 |