在我们的服务器上有一个3-4Gbps的ICMP泛洪,我想知道..我有一个20Gbps的DDoS保护,但是这个testing对ICMP来说似乎是无效的(它很好的阻止了大量的TCP和UDP攻击过去它却因为停机而导致ICMP失败)。
以下是DDoS检测发布的stream量示例: http : //pastebin.com/raw.php? i= MW4gTN1C
问题是,我不知道这是什么样的ICMP数据包。
1-是否只能使用ICMP ECHO(ping数据包)进行这种攻击,或者是否存在可用于此类攻击的其他ICMP数据包types? 因为我没有看到自己能够反映ICMP数据包,除了回显请求。
2 – 我知道build议ICMP保持畅通,像MTU这样的一些东西,那么我应该避免使用什么样的ICMP数据包,或者限制速率(在某些情况下,对于快速networking操作来说,是必不可less的)?
3-现在我要求ICMP在数据中心的核心路由器完全被拒绝(我知道的想法不好,但我需要一个快速的解决scheme,它工作)。 ACL是
0: deny icmp any 104.xxx/29 1: permit ip any any 有没有更好的方法来阻止这种攻击? 你认为只有阻止ICMP回应请求才能摆脱攻击的影响?
总而言之,我试图想出一个ACL,完全过滤潜在危险的ICMP数据包,而不必完全摆脱它。
谢谢