DDoS 保護的具體建構方式

在談到 DDoS 保護時，我可以理解它在很大程度上取決於過濾器的容量。

在建構自己的 DDoS 防護時，取決於您可以過濾的流量，如果 DDoS 攻擊超過該限制，則沒有其他可能性過濾其他流量，它將到達後端，從而使後端不可用。

但是這個過濾能力是如何增加的呢？例如，如果我去購買Firepower 9300並將其連接到我的網路之前我的路由器和後端，或者將我的路由器與這個防火牆交換，因為它說它具有 1.2 Tbps 集群吞吐量，這是否意味著我將能夠過濾 1.2 Tbps 的 DDoS 流量並阻止高達 1.2 Tbps 的 DDoS 攻擊？或者為了過濾更多流量，我需要致電我的提供商並要求增加我的網際網路上行鏈路的頻寬，這將是我可以處理的最大流量？

作為

$$ the firewall $$說它有 1.2 Tbps 的集群吞吐量，這是否意味著我將能夠過濾 1.2 Tbps 的 DDoS

不可以。您需要進行嚴重的威脅和容量評估，以了解您在緩解 DDoS 威脅方面的限制。

• 您需要比攻擊更多的頻寬才能繼續為合法請求提供服務。
• 防火牆可能會在吞吐量之前很久就達到其每秒數據包限制。大型單一防火牆每秒可能處理數百萬個數據包，大型攻擊超過 100Mpps。
• 集群系統的最大值不是一個節點的限制。一個節點的容量要小得多，有時會因您使用的功能而減少。所以你需要買很多東西來擴大規模。

數十個 100 Gbps 網際網路連結加上許多大型防火牆很昂貴，並且可能會給您的提供商的傳輸帶來壓力。自然地，DDoS 緩解服務將使用 CDN 樣式的分佈式網路來分散負載。

您可能不會面臨創紀錄規模的威脅。但這個規模不是理論上的，GitHub 經受住了 1.3 Tbps 的攻擊。

引用自：https://serverfault.com/questions/963955