当我在10Gbps的时候遇到DDoS,如果我有拥有10M表项的BGP路由器,我可以在攻击networking上执行search吗?
我会这样做,首先我会删除路由到我的第一/ 8,看看DDoS是否会停止。 然后在完整的32位地址空间上以这种方式searchDDoS的来源。
我对BGP不是很熟悉,不知道它传播了多长时间,这样的search需要多长时间,会有什么影响。 也不知道如果我实际上可以阻止一些networking停止路由给我的IP号码,我从RIPE和阿林下载。
这对于处理欺骗性攻击尤其如此,正常的攻击可以更有效地追踪。
或者我需要多less带宽,并且没有位置可以维持欧洲的任何types的DDoS? 我可以使用基于Route 53延迟的DNS重新路由stream量。 我读到的最近公开的罢工约为13Gbps,20Gbps就够了吗?
BGP是一种路由协议。 它不能用来检测攻击的IP地址。
在路由器/networking中,从攻击者丢弃数据包的最有效方法是将目标IP尽可能靠近攻击networking。 这意味着您的服务将无法访问这些networking。
这可以通过您的中转服务提供商通过BGP完成,使用名为RTBH的机制或远程触发的黑洞路由。
这里有一个关于RTBH的有趣post。
如果只有一个路由器,则在外围(防火墙/路由器)的外边缘进行空路由IP,从而完全从Internet删除受到攻击的服务,同时还会使pipe道饱和。
如果您想知道在攻击中使用了哪些IP地址, Netflow / IPFix将是使用的协议。
不,那不行。
你的路由表控制你到达其他人的方式。 其他人的路由表控制他们如何到达你。
你不能删除其他人的路由条目,具有特异性。 其他networking路由传递给你的方式是基于它们的路由策略,而不是你的路由策略。 所有你能做的就是停止广告路线,这将导致每个人都失去了这条路线给你。