可以用BGP停止DDoS吗?

参见英文答案 > I am under DDoS. What can I do?                                    4个
当我遇到DDoS @ 10Gbps时,如果我的BGP路由器中有10M表条目,我可以在攻击性网络上进行搜索吗?

我会这样做,首先我会删除第一个/ 8的路由,然后看看DDoS是否会停止.然后以这种方式搜索完整32位地址空间上的DDoS源.

我不太熟悉BGP,不确定它传播的时间长度以及搜索需要多长时间以及会产生什么影响.还不确定我是否可以通过我从RIPE和Arin下载的ip号码实际阻止某些网络停止路由到我.

这尤其适用于处理欺骗性攻击,因为可以更有效地跟踪正常攻击.

或者我需要多少带宽以及在欧洲不支持任何类型的DDoS的位置?我可以使用基于Route 53延迟的DNS重新路由流量.我最近披露的罢工大约是13Gbps,20Gbps就够了吗?

BGP是一种路由协议.它不能用于检测攻击的IP地址.

在路由器/网络上,从攻击者丢弃数据包的最有效方法是将目标IP空路由尽可能接近攻击网络.这意味着您的服务将无法访问这些网络.

这可以通过您的传输提供商使用BGP完成,具有称为RTBH的机制或远程触发黑洞路由.

有一篇关于RTBH here的有趣帖子.

如果您只有一个路由器,那么IP路由的空路由将在外围(防火墙/路由器)的外边缘完成,从而完全从Internet上移除受攻击的服务,但也会使管道饱和.

如果您想知道攻击中使用的IP地址,Netflow/IPFix将是要使用的协议.

相关文章
相关标签/搜索