当我遇到 DDoS @10Gbps 时,如果我的 BGP 路由器中有 10M 表条目,我可以在攻击性网络上执行搜索吗?
我会这样做,首先我会删除路由到我的第一个 /8 并查看 DDoS 是否会停止。然后在完整的32位地址空间上这样搜索DDoS的源头。
我对 BGP 不是很熟悉,不确定它会传播多长时间、这种搜索需要多长时间以及会产生什么影响。也不确定我是否真的可以阻止某些网络停止通过我从 RIPE 和 Arin 下载的 IP 号码路由到我。
这尤其适用于应对欺骗攻击,因为可以更有效地追踪正常攻击。
或者我需要多少带宽,没有什么地方可以在欧洲维持任何类型的 DDoS?我可以使用基于 Route 53 延迟的 DNS 重新路由流量。我读到的最近披露的罢工约为 13Gbps,20Gbps 是否足够?
BGP是一种路由协议。它不能用于检测攻击 IP 地址。
在路由器/网络上,丢弃来自攻击者的数据包的最有效方法是将目标 IP 尽可能靠近攻击网络进行空路由。这意味着这些网络无法访问您的服务。
这可以通过您的传输提供商使用 BGP 来完成,使用称为 RTBH 或远程触发的黑洞路由的机制。
这里有一篇关于RTBH的有趣帖子。
如果您只有一个路由器,则 IP 的空路由将在您的外围(防火墙/路由器)的外边缘完成,因此从 Internet 上完全删除您的受攻击服务,但也会使您的管道饱和。
如果您想知道攻击中使用了哪些 IP 地址,可以使用Netflow / IPFix协议。
不,那行不通。
您的路由表控制着您如何联系其他人。其他人的路由表控制着他们如何到达你。
你不能删除其他人对你的特定路由条目。其他网络向您传递路由的方式是基于它们的路由策略,而不是您的。你所能做的就是停止发布路由,这将导致每个人都失去你的路由。