BGP可以阻止DDoS嗎？

當我遇到 DDoS @10Gbps 時，如果我有 10M 表條目的 BGP 路由器，我可以在攻擊網路上執行搜尋嗎？

我會這樣做，首先我會刪除第一個 /8 的路由，看看 DDoS 是否會停止。然後通過這種方式在完整的 32 位地址空間上搜尋 DDoS 的來源。

我對 BGP 不太熟悉，不確定它傳播多長時間、這種搜尋需要多長時間以及會產生什麼影響。也不確定我是否真的可以通過我從 RIPE 和 Arin 下載的 IP 號碼阻止某些網路停止路由到我。

這尤其適用於處理欺騙攻擊，因為可以更有效地追踪正常攻擊。

或者我需要多少頻寬並且沒有位置來維持歐洲的任何類型的 DDoS？我可以使用基於 Route 53 延遲的 DNS 重新路由流量。我讀到的最近披露的罷工大約是 13Gbps，20Gbps 就足夠了嗎？

BGP是一種路由協議。它不能用於檢測攻擊IP地址。

在路由器/網路上，從攻擊者那裡丟棄數據包的最有效方法是將目標 IP 設為空路由，使其盡可能靠近攻擊網路。這意味著這些網路將無法訪問您的服務。

這可以通過您的傳輸提供商使用 BGP 來完成，使用一種稱為 RTBH 或遠端觸發黑洞路由的機制。

這裡有一篇關於RTBH的有趣文章。

如果您只有一個路由器，則將在外圍（防火牆/路由器）的外部邊緣對 IP 進行空路由，從而完全從 Internet 中刪除您的受攻擊服務，但也會使您的管道飽和。

如果您想知道攻擊中使用了哪些 IP 地址，Netflow / IPFix將是要使用的協議。

引用自：https://serverfault.com/questions/417144