我想知道是否有任何 DDoS 防御措施,其中(任何)路由器都会阻止来自攻击者 MAC 地址的所有数据包(任何时间段)。如果有,在什么情况下会发生这种情况?
答案1
通过 IP 地址阻止通常不用作 DDoS 防御,因为通常网络此时已经处于负载状态,因此在这里阻止或丢弃数据包没有什么价值。
实际上,你越接近攻击者,就能减轻 DDoS 攻击,提供的保护就越多,这就是 Prolexic、Akamai 等公司可以提供有效缓解服务的原因。
正如@Iain 指出的那样,通过 MAC 地址进行阻止甚至更没用,因为如果您知道他们的 MAC 地址,那么他们应该与您在同一个网络上:-)
看一下这个问题在 Security Stack Exchange 上,以及我们标记为 DDoS 的其他问题。
答案2
MAC 地址不会跨路由器。每次路由器接受 IP 数据包时,底层都会被剥离(例如以太网帧)。Mac 地址仅适用于您的本地网络。
如果您的本地网络遭受 DDoS 攻击,请登录您的交换机并禁用端口,或者走到计算机旁并将其关闭。