有没有办法在不记录 IP 地址的情况下进行 DDOS 保护?有没有办法在不记下 IP 地址的情况下阻止攻击?这是因为数据保护法规
答案1
您没有说您身处世界的哪个地方,但假设某个地方受 GDPR 保护(我认为新的加州法律已经足够接近这种详细程度)。
虽然 IP 地址可以被视为 PII(个人身份信息),但法律允许您在有正当理由的情况下存储它们。记录 DDOS 攻击的来源就是一个正当理由。特别是如果您有一个合理的数据保留策略,例如,您将保留记录 1 个月并使用它们来过滤流量,然后在一个月后删除记录。如果您使用与 autologrotate 配对的 fail2ban 等系统,这一切都可以自动化,因此除非出现问题,否则您根本不需要手动与数据交互。
确保只有有正当需要的人才能访问数据通常也是合规的必要步骤。
我建议你找一位真正的法律专家(而不是互联网上的某个匿名人士)来讨论你在特定管辖范围内有哪些选择。
答案2
你想保护什么?
如果在 DDOS 期间产生了足够的流量,则需要将目标 IP 路由到黑洞路由。源 IP 可能被欺骗,有时最好的解决方案是通过 BGP 宣布丢弃所有带有受攻击主机的目标 IP 的数据包。