在 DDoS 攻击期间,即使您成功在数据中心阻止了它,您和您的 ISP 之间的链接仍然会处于饱和状态,并且流量会停止。
在这种情况下,与 ISP 沟通以在 ISP 级别阻止源 IP 地址的最佳方法是什么,肯定有比给他们发送电子邮件或打电话更好的方法?
答案1
没机会。DDOS 的源 IP 数量并不少,您必须区分真实和虚假流量。而且 ISP 级别没有基础设施来传达这一点,包括提供某种身份验证(因此不会被滥用)。
您唯一的选择是使用类似 Cloudflare 的分布式代理,它可以进行检查并减轻损害。躲在足够强大的人身后,承担负载。
答案2
首先德在德DoS 意味着分散式。
由于 DDoS 是分布式的,因此受害者可能会收到来自数十万个不同源地址、不同 ISP 的连接。不仅如此,有些攻击还使得很难区分攻击连接和合法连接。
要从源头阻止 DDoS,您必须:
仅列出攻击连接
获取源 IP
查找该 IP 的 ISP
查找该 ISP 的联系信息
要求他们阻止与你网站的连接
并重复数十万次。
您很可能找不到 ISP 的联系信息,即使您能找到,他们也不太可能会更改其网络上的任何内容来帮助您。他们可能会让您受苦。他们最好忽略您,而不是冒着破坏其网络上某些内容的风险来帮助您。
远程触发黑洞 - RTBH是一种在发生针对路由器所服务的任何 IP 地址的 DDoS 攻击时在上游路由器上将目标地址黑洞化的机制。它也不会拯救你,因为它是一种旨在保护基础设施免受洪水侵袭的机制,而不是保护洪水受害者。
基于源的 RTBH其有效性非常有限,因为您必须在发送违规 IP 之前将恶意流量与真实流量区分开来,并且您的 ISP 必须有某种机制让您向他们发送恶意 IP。如果任何攻击者得知您已实施 S-RTBH,它可能会使用 Google 翻译等方式淹没您的网站,并且您的 ISP 会将 Google 设为黑洞。
答案3
在许多情况下,你会屈服于“远程触发黑洞”(RTBH)或“空路线”。这可以有效地尽快将所有传入流量丢弃到目标前缀,以防止下游链路饱和。您可以让 BGP 发言人与您的 ISP 对话并自动触发此操作,而无需与 ISP 的人员进行交互。
但是,根据您受到的攻击以及您的 ISP 对您的喜爱程度,您可能能够解决问题而无需完全黑洞您的主机。您应该确定攻击流量由什么组成,以及是否可以实施简单的 ACL 来过滤此上游。一个很好的例子是,几年前 DNS/SNMP/NTP/等反射攻击很常见时,过滤这些攻击的规则非常简单(drop udp 53 inbound
,等等)。我能够与我的上游(当时是 Telia 和 Hurricane Electric)交谈,让他们将这些简单的规则实施到更接近其核心的地方,因为那里的管道要大得多。
答案4
通常,DDoS 攻击源自控制僵尸网络或僵尸机器网络的黑客。攻击者将向所有机器人发出命令,指示它们请求特定资源/URI。大量请求使服务器不堪重负并使其瘫痪。
DDoS 攻击的巧妙之处在于,流量可能来自真实客户的合法 IP。
更不用说足够大规模的 DDoS 攻击可以使用大量不同的 IP 地址。换句话说,没有一个 IP 可以阻止。或者两个、三个甚至四个……有数百或数千个唯一 IP。
封锁大量 IP 地址并不总是可取的。由于大规模 DDoS 而封锁大量 IP 地址,您可能会封锁大量可能共享这些 IP 地址的合法用户,从而产生不良副作用(例如 Tor、代理用户、大学、共享家庭、使用 NAT 保存公共 IP 地址的 ISP)。
为了防止此类攻击,请考虑使用网络测试类似 Ixia 的服务,包括安全测试、网络基础设施和 wifi 测试