首先,我们的服务器拥有一款仅服务于 4 个国家/地区的应用程序。我们屡屡遭受来自 bonnet 的 DDoS 攻击,因此我们希望阻止除该应用程序服务的 4 个国家/地区之外的所有流量。
这个想法是通过 VLAN 级别来阻止它们。
那么 cisco asa 5505 甚至 5520 能解决这个问题吗?还是会降低速度/挂起等等?
答案1
您很可能不会使用 VLAN“虚拟局域网”来执行此操作。关键词是本地。我认为您想要的是通过 IP 地址范围进行限制,仅分配给可以合法使用您的资源的国家/地区。
没有完美的解决方案可以满足您的需求。如果您知道每个用户的 IP 地址,那就太好了,但您可能不知道。
挑战在于 IP 地址并不像电话号码那么简单,我们无法直接屏蔽某个国家代码。IP 地址的分配更加随机,使用 IP 地址的国家/地区会随时间而变化。另一个挑战在于,您的用户或客户可能会旅行,并希望从您屏蔽的其他国家/地区访问您的服务。心怀恶意的人可能来自您未屏蔽的国家/地区,也可能使用代理伪造其 IP 地址并出现在其他国家/地区。我相信我还能想出更多例子,但这是一个很好的开始。
关于解决方案,综上所述:如果我正在寻找一种快速简便的解决方案来阻止或仅允许某些国家,我会与我的 ISP 联系,看看他们是否已经有快速经济实惠的解决方案。
您可以根据列表中找到的 IP 地址使用拒绝或允许规则。这里有一篇文章讨论了此解决方案http://blogs.cisco.com/security/block-a-country-with-my-cisco-router-or-firewall/
思科有自己的解决方案,他们想向您出售 Traffic-anomaly-detector-xt-5600a,并且他们在白皮书文章中告诉您为什么防火墙设备不是 DDOS 的最佳解决方案。
您可以围绕 DDOS 创建警报,然后查看当时的日志并在问题发生时阻止它。
我对您使用的代码一无所知,但应用程序内存在一些限制,但有 Apache 和其他解决方案。
这是使用 ASA 缓解 DDOS 的更好选择之一 http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/conns_threat.html