我一直想知道大型科技公司如何抵御接近 1tbps+ 的 DDoS 攻击。据我所知,流量不可能就此消失,因此即使我通过 iptables 丢弃所有 udp 数据包(也尝试过 ebfp),iptables -A INPUT -p udp -j DROP进入我服务器的流量也不会改变,而且我的服务器仍然无法访问,因为我的端口已满。
所以这一切都取决于网络容量?如今 DDoS 攻击每天很容易达到 300-600gbps,这将使数据中心的整个核心路由器达到最大限度,他们如何缓解这种情况??我需要一些建议。
答案1
无论您是否丢弃 DDOS 数据包,它们都会到达您的设备并占用您的带宽。
恶意流量在被路由到您的设备的 IP(甚至是您的 ISP)之前应该被过滤,由具有专业知识、带宽、计算能力来分析和清理客户端流量的特殊(商业)服务进行过滤。
如果攻击不是针对带宽,而是针对服务器资源或应用程序,您可以尝试自行过滤设备上的恶意流量