当谈到 DDoS 保护时,我可以理解它很大程度上依赖于过滤能力。
在构建您自己的 DDoS 保护时,它取决于您可以过滤的流量量,如果 DDoS 攻击超过该限制,则没有其他可能过滤其他流量,它将到达后端,从而使后端不可用。
但是,这种过滤能力是如何提高的呢?例如,如果我去购买Firepower 9300并将其连接到我的路由器之前的网络,因此是后端,或者用这个防火墙交换我的路由器,因为它说它有 1.2 Tbps 集群吞吐量,这是否意味着我将能够潜在地过滤 1.2 Tbps 的 DDoS 流量并阻止高达 1.2 Tbps 大小的 DDoS 攻击?或者为了过滤更多的流量,我需要打电话给我的提供商并要求增加我的互联网上行链路的带宽,这将是我可以处理的最大流量?
答案1
防火墙显示其集群吞吐量为 1.2 Tbps,这是否意味着我能够过滤 1.2 Tbps 的 DDoS
不。您需要进行严重的威胁和容量评估,以了解您在减轻 DDoS 威胁方面的极限。
- 您需要比攻击更多的带宽才能继续满足合法请求。
- 防火墙可能在达到吞吐量之前就达到每秒数据包数的限制。一个大型防火墙每秒可能处理数以百万计的数据包,大型攻击超过 100Mpps。
- 集群系统的最大值并不是一个节点的限制。一个节点的容量要小得多,有时会因您使用的功能而减少。因此您需要购买大量节点才能扩展。
数十个 100 Gbps 互联网链接加上同样多的大型防火墙成本高昂,并且可能会给提供商的传输带来压力。自然,DDoS 缓解服务会使用 CDN 式分布式网络来分散负载。
你可能不会面临创纪录规模的威胁。但这种规模并不是理论上的,GitHub 经受住了 1.3 Tbps 的攻击。
答案2
要过滤通过一条管道传输的 1.2 Tbps 流量,您首先需要有接收 1.2 Tbps 流量的容量。也就是说,您需要大量可用带宽和大量硬件容量来进行路由和过滤。
对于 DDoS(分散式(这是关键词)通常,像主要的 CDN 提供商那样,在每个源附近进行过滤更有意义,而不是等到所有流量都被路由到一个地方,并加起来有可能无法管理。