> 北区的做法是传统的 Layer-4 switch 拦截转向, 再由 transparent proxy > 过滤. 当 transparent proxy 没反应时, Layer-4 switch 可 by-pass 不再转向. ========================================================================== 这里的 L4 switch + Transparent Proxy 目前的做法是只当 URL 的 Filter, 只有阻绝的动作. 但是假如像中央大学的做法是再做个分流分导, 就会把向某个网站 的来往全部分流到另一部 proxy/gateway 去进行. 这个分流的 proxy/gateway 显然 能做限流动作, 也能做 "分身" 回应. 在受 DDOS 攻击时, 不是目的网站受不了, 就 是沿途的 router 受不了. 假如在骨干网路的边缘 router 装设 "幻影分身" 当 "诱 饵", 就有分流, 限流与按来源对象阻绝保护骨干与标的物的优点. 这个方法有如每个要去 playboy.com 的国中小电脑就是 DDOS 里的攻击者, 但被 L4 SW + URL Filter 阻断了, 合年龄的大学就是一般的正常使用者, 应该不会 受到阻断还是可以继续拜访. 这里显然需要一个敌我识别与可辨认之徵, 这当然是个 不容易解的问题, 何况还是骤然攻击以快打慢, 这个幻影移位也必须足够快速, 换言 之, 要能找到被攻击者处於穷於应付时, 幻影分身就出来分散热点, 舒解骨干流量, 这是代理 proxy 可以做到的. 假如 Transparent Proxy 够聪明能跟敌我识别器合作 就能扮演诱饵与诱歼(阻绝)的动作. 北区现在的做法是串列式, 也就是在出口 router 加挂 L4 SW 旁路到 URL Filter 再决定是否阻绝与导回. 假如是监测式的做法就是旁路装监测器,当"发现异常" , 待敌我识别器找出异常的 port 与目的地, 就请 L4 sw/router 对 port 封包或目的 地进行重新绕路转向诱饵, 诱饵立即扮演 Transparent proxy 动作代理目的地. 使用 BGP Anycast 的 DNS Mirror ROOT Server 比之上述方法就是个预置的 cached DNS proxy 兼诱饵. 因为是预置, 先天就会分流. 现在是要能动态幻影, 受 到请求就要立即冒充顶替而上. 如果是网站对真正的用户只要一个询问的回应与 re- direction 告知就可能让机械式攻击陷入诱饵的陷井, 而使用者就能转到新的网站. 对骨干 router 言, 诱饵就在分流, 限流与阻断使得骨干 router 正常运作. 在 Router 旁的出入口并连一台机器就可以使之当监测器, 旁流器, 诱饵 , 阻 断器, Router 的控制器甚至是备援 router 或网路的秘密通道. -- ◎ Origin: 中央松涛站□bbs.ee.ncu.edu.tw From: 140.115.6.234