Могу ли я выполнить поиск в атакующей сети, когда я испытываю DDoS @ 10Gbps, если у меня есть маршрутизатор BGP с 10M записями в таблице?
Я бы сделал это так, что сначала удалил бы маршрутизацию для меня для first / 8 и посмотрел, остановится ли DDoS. А затем найдите таким образом источник DDoS-атак во всем 32-битном адресном пространстве.
Я не очень хорошо знаком с BGP, не знаю, как долго он распространяется, сколько времени займет такой поиск и каковы будут последствия. Также не уверен, могу ли я действительно предотвратить маршрутизацию некоторых сетей по их IP-адресам, которые я загружаю с RIPE и Arin.
Это особенно важно для борьбы с ложными атаками, поскольку обычные атаки можно отследить более эффективно.
Или какая пропускная способность мне нужна и сколько мест для защиты от DDoS-атак в Европе? Я могу перенаправить трафик с помощью DNS на основе задержки Route 53. Недавняя раскрытая забастовка, о которой я читал, была около 13 Гбит / с, хватит ли 20 Гбит / с?
BGP - это протокол маршрутизации. Его нельзя использовать для обнаружения атакующих IP-адресов.
На маршрутизаторе / сети наиболее эффективный способ отбрасывать пакеты от злоумышленников - это обнулить целевой IP-адрес как можно ближе к атакующим сетям. Это означает, что ваш сервис будет недоступен для этих сетей.
Это можно сделать с помощью BGP через ваших транзитных провайдеров, с помощью механизма, называемого RTBH, или маршрутизации по удаленной черной дыре.
Есть интересный пост о RTBH здесь.
Если у вас только один маршрутизатор, нулевая маршрутизация IP-адресов будет выполняться на внешнем краю вашего периметра (межсетевой экран / маршрутизатор), таким образом, полностью удаляя атакованные службы из Интернета, но также насыщая ваш канал.
Если вы хотите знать, какие IP-адреса используются в атаках, Поток данных, передающихся по сети/IPFix протоколы для использования.
Нет, это не сработает.
Ваша таблица маршрутизации определяет, как ты достичь всех остальных. Таблицы маршрутизации всех остальных контролируют, как они до вас дойдут.
Вы не можете целенаправленно удалять чужие записи маршрутизации. То, как другие сети передают вам маршруты, основано на их политиках маршрутизации, а не на вашей. Все, что вы можете сделать, это остановить рекламные маршруты, и это вызовет все чтобы потерять этот путь для вас.