> 北區的做法是傳統的 Layer-4 switch 攔截轉向, 再由 transparent proxy > 過濾. 當 transparent proxy 沒反應時, Layer-4 switch 可 by-pass 不再轉向. ========================================================================== 這裡的 L4 switch + Transparent Proxy 目前的做法是只當 URL 的 Filter, 只有阻絕的動作. 但是假如像中央大學的做法是再做個分流分導, 就會把向某個網站 的來往全部分流到另一部 proxy/gateway 去進行. 這個分流的 proxy/gateway 顯然 能做限流動作, 也能做 "分身" 回應. 在受 DDOS 攻擊時, 不是目的網站受不了, 就 是沿途的 router 受不了. 假如在骨幹網路的邊緣 router 裝設 "幻影分身" 當 "誘 餌", 就有分流, 限流與按來源對象阻絕保護骨幹與標的物的優點. 這個方法有如每個要去 playboy.com 的國中小電腦就是 DDOS 裡的攻擊者, 但被 L4 SW + URL Filter 阻斷了, 合年齡的大學就是一般的正常使用者, 應該不會 受到阻斷還是可以繼續拜訪. 這裡顯然需要一個敵我識別與可辨認之徵, 這當然是個 不容易解的問題, 何況還是驟然攻擊以快打慢, 這個幻影移位也必須足夠快速, 換言 之, 要能找到被攻擊者處於窮於應付時, 幻影分身就出來分散熱點, 舒解骨幹流量, 這是代理 proxy 可以做到的. 假如 Transparent Proxy 夠聰明能跟敵我識別器合作 就能扮演誘餌與誘殲(阻絕)的動作. 北區現在的做法是串列式, 也就是在出口 router 加掛 L4 SW 旁路到 URL Filter 再決定是否阻絕與導回. 假如是監測式的做法就是旁路裝監測器,當"發現異常" , 待敵我識別器找出異常的 port 與目的地, 就請 L4 sw/router 對 port 封包或目的 地進行重新繞路轉向誘餌, 誘餌立即扮演 Transparent proxy 動作代理目的地. 使用 BGP Anycast 的 DNS Mirror ROOT Server 比之上述方法就是個預置的 cached DNS proxy 兼誘餌. 因為是預置, 先天就會分流. 現在是要能動態幻影, 受 到請求就要立即冒充頂替而上. 如果是網站對真正的用戶只要一個詢問的回應與 re- direction 告知就可能讓機械式攻擊陷入誘餌的陷井, 而使用者就能轉到新的網站. 對骨幹 router 言, 誘餌就在分流, 限流與阻斷使得骨幹 router 正常運作. 在 Router 旁的出入口並連一台機器就可以使之當監測器, 旁流器, 誘餌 , 阻 斷器, Router 的控制器甚至是備援 router 或網路的祕密通道. -- ◎ Origin: 中央松濤站□bbs.ee.ncu.edu.tw From: 140.115.6.234