我们公司的主要所有者(电信集团)希望我们部署反 DDoS 机制,例如 Arbor Pravail,这是一个好主意。
虽然...我有一个问题...如果我们的主要 ISP 骨干提供商没有反 DDoS 机制,是否意味着我们获得 Arbor Pravail 就没有意义了?
DDoS 攻击只会对目标 IP 造成损害,还是对 DDoS 数据包经过的整个网络造成损害?
问候,
答案1
仅凭给出的信息,很难真正推断出这一点。DDoS 攻击的速度范围从每秒几兆比特到几千兆比特不等——这完全取决于您要防范的攻击者的狡猾程度和资源。
如果我们的主要 ISP 骨干提供商没有反 DDoS 机制,是否意味着我们获得 Arbor Pravail 就没有意义了?
嗯,不完全是。如果你的托管中心有不错的上行链路,并且你正在部署反 DDoS 设备,那么你很有可能在小型和/或不复杂的 DDoS 攻击中保持在线。但是,如果你受到大型攻击,那么任何单一设备解决方案都是不够的。
DDoS攻击只会对目标IP造成损害还是对DDoS数据包经过的整个网络造成损害?
无论损害发生在何处,解决方案通常都涉及精准定位空路由取决于上游 ISP 的网络和本地措施。因此,如果您的 ISP 确实没有 DDoS 响应能力,那么您就处于劣势。但您确定是这样吗——您问过他们吗?
顺便提一下,有些 ISP 专门提供建立与 DDoS 缓解服务的连接。例如 Prolexic 或 Black Lotus;还有其他几个。如果您觉得有遭受 DDoS 攻击的风险,那么使用这种提供商可能值得考虑。
答案2
任何受到 DDOS 攻击的网络都会受到一定的影响,这是基于 DDOS 攻击是基于流量的假设(大量数据包快速连续)。它是否被检测为 DDOS 攻击或只是大量流量可能取决于上游链路/路由器所采用的技术。如果攻击针对的是特定目标 IP 地址或 IP 地址块,那么攻击可能看起来就像攻击正在传输的网络中的任何其他流量一样,只是数据包量非常大。这对上游链路/路由器的影响有多大将取决于这些链路/路由器的稳健性。
答案3
由于您无法控制 ISP 的网络,因此做好防范 DOS/DDOS 攻击的准备是有意义的,因此他们可能会阻止对您的攻击,也可能不会 - 无论如何,您已经尽力了。