DNS路由与BGP路由如何作DDOS保护?
DNS路由和BGP路由是缓解提供商在目标网络之前部署以检测和重定向恶意流量的两种DDoS缓解技术。?
DNS路由
DNS重新路由涉及缓解提供程序,将目标的IP地址掩盖为自己的IP地址。结果,入站请求被发送到缓解提供程序,缓解提供程序检查并过滤掉任何恶意流量。
但是,DNS重定向存在一个问题,即它无法阻止对IP地址的直接发起攻击-它仅在应用程序层起作用。这意味着即使IP被屏蔽,仍然可以发现它并以恶意流量为目标。
BGP路由
BGP重路由可以通过在到达目标之前筛选所有传入的网络流量,从而减轻直接发起的DDoS攻击。它通过在恶意网络数据包到达DNS服务器或其他计算资源之前将其重新路由到安全提供程序来在网络级别起作用。
BGP路由器可以将大量流量重定向到安全提供商使用的集中式数据清理中心。清理中心 使用深度数据包检查功能分析流量并过滤掉恶意
DDoS攻击流量。然后,它允许健康的流量传递到AS。
BGP DDoS攻击的缓解过程可以细分如下:
1.安全提供商通过BGP声明即将发生的DDoS攻击。
2.BGP规则会自动更改-代替基于最佳路径路由流量,BGP将所有传入流量重新路由到安全提供程序。
3.安全提供程序会过滤掉恶意流量,然后使用GRE隧道将干净流量直接发送到原始服务器。
4.发出BGP公告的先决条件是要控制C类子网-已连接网络设备的逻辑分组。子网必须至少具有256个IP地址,这意味着较小的公司网络通常无法从启用BGP的保护中受益。
页:
[1]