Ddos
BGP可以阻止DDoS嗎?
當我遇到 DDoS @10Gbps 時,如果我有 10M 表條目的 BGP 路由器,我可以在攻擊網路上執行搜尋嗎?
我會這樣做,首先我會刪除第一個 /8 的路由,看看 DDoS 是否會停止。然後通過這種方式在完整的 32 位地址空間上搜尋 DDoS 的來源。
我對 BGP 不太熟悉,不確定它傳播多長時間、這種搜尋需要多長時間以及會產生什麼影響。也不確定我是否真的可以通過我從 RIPE 和 Arin 下載的 IP 號碼阻止某些網路停止路由到我。
這尤其適用於處理欺騙攻擊,因為可以更有效地追踪正常攻擊。
或者我需要多少頻寬並且沒有位置來維持歐洲的任何類型的 DDoS?我可以使用基於 Route 53 延遲的 DNS 重新路由流量。我讀到的最近披露的罷工大約是 13Gbps,20Gbps 就足夠了嗎?
BGP是一種路由協議。它不能用於檢測攻擊IP地址。
在路由器/網路上,從攻擊者那裡丟棄數據包的最有效方法是將目標 IP 設為空路由,使其盡可能靠近攻擊網路。這意味著這些網路將無法訪問您的服務。
這可以通過您的傳輸提供商使用 BGP 來完成,使用一種稱為 RTBH 或遠端觸發黑洞路由的機制。
這裡有一篇關於RTBH的有趣文章。
如果您只有一個路由器,則將在外圍(防火牆/路由器)的外部邊緣對 IP 進行空路由,從而完全從 Internet 中刪除您的受攻擊服務,但也會使您的管道飽和。