可以使用 BGP 阻止 DDoS 吗？

Question

当我遇到 DDoS @10Gbps 时，如果我有 10M 表项的 BGP 路由器，我可以在攻击性网络上执行搜索吗？

我会这样做，首先我会删除第一个 /8 的路由，看看 DDoS 是否会停止。然后通过这种方式在完整的32bit地址空间上搜索DDoS的来源。

我对 BGP 不太熟悉，不确定它传播多长时间以及此类搜索需要多长时间以及会产生什么影响。也不确定我是否真的可以通过我从 RIPE 和 Arin 下载的 IP 号码阻止某些网络停止路由到我。

这尤其适用于处理欺骗攻击，因为可以更有效地跟踪正常攻击。

或者我需要多少带宽并且没有位置来维持欧洲的任何类型的 DDoS？我可以使用基于 Route 53 延迟的 DNS 重新路由流量。我读到的最近披露的罢工大约是 13Gbps，20Gbps 就足够了吗？

Answer 1

BGP 是一种路由协议。它不能用于检测攻击 IP 地址。

在路由器/网络上，丢弃来自攻击者的数据包的最有效方法是将目标 IP 空路由尽可能靠近攻击网络。这意味着这些网络将无法访问您的服务。

这可以通过您的传输提供商使用 BGP 来完成，使用一种称为 RTBH 或远程触发黑洞路由的机制。

这里有一篇关于RTBH的有趣帖子。

如果您只有一台路由器，则 IP 的空路由将在您的边界（防火墙/路由器）的外边缘完成，从而从 Internet 上完全删除您的受攻击服务，但也会使您的管道饱和。

如果您想知道攻击中使用了哪些 IP 地址，Netflow / IPFix将是要使用的协议。