@Disasm

Оцените метод противостояния DDoS

Вкратце: есть сеть из большого числа компьютеров (предполагается что обычных пользовательских) с белыми IP-адресами и свободным 80м портом, которые связаны в сеть с древовидной структурой. Из этого множества компьютеров выбираются некоторые «краевые», которые в данном случае являются листьями дерева, и их IP-адреса задаются в качестве A-записей домена атакуемого сайта, а реальный ip-адрес сайта знает только корневой компьютер. Общение идёт по цепочке клиент-лист-примежуточные_компьютеры-корень-сервер Компьютеры каким-нибудь образом могут детектировать некоторые виды атак и недопускать передачу таких запросов дальше к корню дерева, и, соответственно, к защищаемому серверу.

Какие недостатки могут быть у такой архитектуры? Есть ли у неё вообще перспективы?
  • Вопрос задан
  • 3264 просмотра
Пригласить эксперта
Ответы на вопрос 3
@bondbig
а как планируете удалять из А-записей выключенные/недоступные станции?
А вообще, ничего нового, так и работают многие системы-сервисы защиты от ДДоС, только не на десктопах, а по нескольким датацентрам в разных странах размазаны точки входа (размазывают либо средствами BGP, либо DNS, либо и тем и другим вместе), далее очищенный трафик передается защищаемому серверу либо внутри GRE-туннеля, либо проксируется. В итоге ботнет не знает айпи сервера, а только айпи антиддосеров.
Ответ написан
stel
@stel
Ну если «компьютеры каким-нибудь образом» научить детектировать атаки, то данный подход сможет помочь при DoS атаке, но не при DDoS. И вообще все, что вы изложили можно реализовать проще с помощью даже netfilter в никсах. Мне кажется идея с A-записью – это уже слишком…
Ответ написан
amarao
@amarao
И как эта штука выдержит ддос на 10-15 Гб/с? Нужно различать атаки вида «злые, нехорошие запросы» и тупой флуд.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы