Оцените метод противостояния DDoS

Question

Disasm @Disasm

Оцените метод противостояния DDoS

Вкратце: есть сеть из большого числа компьютеров (предполагается что обычных пользовательских) с белыми IP-адресами и свободным 80м портом, которые связаны в сеть с древовидной структурой. Из этого множества компьютеров выбираются некоторые «краевые», которые в данном случае являются листьями дерева, и их IP-адреса задаются в качестве A-записей домена атакуемого сайта, а реальный ip-адрес сайта знает только корневой компьютер. Общение идёт по цепочке клиент-лист-примежуточные_компьютеры-корень-сервер Компьютеры каким-нибудь образом могут детектировать некоторые виды атак и недопускать передачу таких запросов дальше к корню дерева, и, соответственно, к защищаемому серверу.

Какие недостатки могут быть у такой архитектуры? Есть ли у неё вообще перспективы?

Вопрос задан более трёх лет назад
3264 просмотра

Комментировать

Подписаться 2 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 3

2 комментария

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows

+2 ещё

Средний
Есть подключение но нет интернета wireguard?
- 1 подписчик
- 16 часов назад
- 112 просмотров
2

ответа
Компьютерные сети

+4 ещё

Средний
Как настроить маршрутизацию трафика с использованием двух сетевых карт для выхода на перечень адресов (сайтов) ТОЛЬКО через одну сетевую карту?
- 1 подписчик
- 22 нояб.
- 2279 просмотров
2

ответа
Linux

+2 ещё

Простой
Почему не удается подключиться к серверу с самоподписанным доверенным сертификатом?
- 2 подписчика
- 22 нояб.
- 198 просмотров
0

ответов
Компьютерные сети

+2 ещё

Простой
Доступ из VPN наружу?
- 1 подписчик
- 22 нояб.
- 182 просмотра
1

ответ
Компьютерные сети

+1 ещё

Простой
В чем причина ошибки?
- 1 подписчик
- 22 нояб.
- 66 просмотров
0

ответов
Компьютерные сети

+1 ещё

Средний
Чем мониторить arp на mikrotik?
- 3 подписчика
- 21 нояб.
- 324 просмотра
2

ответа
Компьютерные сети

+1 ещё

Простой
Почему роутер openwrt не видит клиента со статическим ip?
- 1 подписчик
- 21 нояб.
- 125 просмотров
4

ответа
Компьютерные сети

Простой
Как обойти ограничение мобильного провайдера на максимальный файл?
- 1 подписчик
- 20 нояб.
- 185 просмотров
3

ответа
Компьютерные сети

Средний
Почему по вечерам снижается скорость загрузки с VPS?
- 4 подписчика
- 20 нояб.
- 699 просмотров
2

ответа
Компьютерные сети

+3 ещё

Простой
Как вывести время последнего онлайна хоста в Zabbix?
- 2 подписчика
- 20 нояб.
- 238 просмотров
2

ответа
Показать ещё Загружается…

Контент-маркетолог

Хекслет

от 60 000 до 100 000 ₽

Преподаватель по нейросетям

CODDY

от 40 000 ₽

Младший аналитик

Сбер • Москва

от 130 000 ₽

Аудит и поддержка проекта внедрению виртуальной архитектуры (АСУ ТП)

25 нояб. 2024, в 03:04

500000 руб./за проект

Сделать простой лендинг

25 нояб. 2024, в 02:45

2000 руб./за проект

Изображения на главную страницу в стиле Jetton и 1вин

25 нояб. 2024, в 00:22

12000 руб./за проект

Answer 1 · 2010-11-20 21:42:59

а как планируете удалять из А-записей выключенные/недоступные станции?
А вообще, ничего нового, так и работают многие системы-сервисы защиты от ДДоС, только не на десктопах, а по нескольким датацентрам в разных странах размазаны точки входа (размазывают либо средствами BGP, либо DNS, либо и тем и другим вместе), далее очищенный трафик передается защищаемому серверу либо внутри GRE-туннеля, либо проксируется. В итоге ботнет не знает айпи сервера, а только айпи антиддосеров.

Answer 2 · 2010-11-20 18:39:16

Ну если «компьютеры каким-нибудь образом» научить детектировать атаки, то данный подход сможет помочь при DoS атаке, но не при DDoS. И вообще все, что вы изложили можно реализовать проще с помощью даже netfilter в никсах. Мне кажется идея с A-записью – это уже слишком…

Answer 3 · 2010-11-20 20:06:09

И как эта штука выдержит ддос на 10-15 Гб/с? Нужно различать атаки вида «злые, нехорошие запросы» и тупой флуд.

Оцените метод противостояния DDoS

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт