Networking
DDoS 保護的具體建構方式
在談到 DDoS 保護時,我可以理解它在很大程度上取決於過濾器的容量。
在建構自己的 DDoS 防護時,取決於您可以過濾的流量,如果 DDoS 攻擊超過該限制,則沒有其他可能性過濾其他流量,它將到達後端,從而使後端不可用。
但是這個過濾能力是如何增加的呢?例如,如果我去購買Firepower 9300並將其連接到我的網路之前我的路由器和後端,或者將我的路由器與這個防火牆交換,因為它說它具有 1.2 Tbps 集群吞吐量,這是否意味著我將能夠過濾 1.2 Tbps 的 DDoS 流量並阻止高達 1.2 Tbps 的 DDoS 攻擊?或者為了過濾更多流量,我需要致電我的提供商並要求增加我的網際網路上行鏈路的頻寬,這將是我可以處理的最大流量?
作為
$$ the firewall $$說它有 1.2 Tbps 的集群吞吐量,這是否意味著我將能夠過濾 1.2 Tbps 的 DDoS
不可以。您需要進行嚴重的威脅和容量評估,以了解您在緩解 DDoS 威脅方面的限制。
- 您需要比攻擊更多的頻寬才能繼續為合法請求提供服務。
- 防火牆可能會在吞吐量之前很久就達到其每秒數據包限制。大型單一防火牆每秒可能處理數百萬個數據包,大型攻擊超過 100Mpps。
- 集群系統的最大值不是一個節點的限制。一個節點的容量要小得多,有時會因您使用的功能而減少。所以你需要買很多東西來擴大規模。
數十個 100 Gbps 網際網路連結加上許多大型防火牆很昂貴,並且可能會給您的提供商的傳輸帶來壓力。自然地,DDoS 緩解服務將使用 CDN 樣式的分佈式網路來分散負載。
您可能不會面臨創紀錄規模的威脅。但這個規模不是理論上的,GitHub 經受住了 1.3 Tbps 的攻擊。