Ich habe mir überlegt, dass ein DDoS-Angriff auf zwei Arten erfolgen kann:
- Senden großer Pakete.
- Viele Pakete werden gesendet.
Warum beschränken Netzwerkadministratoren die IP-Verbindungen nicht auf beispielsweise 3 Benutzer/IPs und legen eine Obergrenze für deren Bandbreite fest?
Ich sehe das Problem nicht. Ich kenne viele Softwareprodukte, wie z. B. NetLimiter 3 Pro, die die Bandbreite gut begrenzen, aber keine Benutzer/IPs.
Antwort1
Nun, zunächst definieren wir den Begriff "DDOS". Das steht fürVerteilter Denial-of-Service, Schlüsselwort wird verteilt. Wenn Sie die Anzahl der Verbindungen pro IP begrenzen, spielt das keine Rolle, da Ihr System von hunderttausend verschiedenen IP-Adressen belastet wird.
Sie begrenzen also nach Anfragegröße. Großartig, wie unterscheiden Sie zwischen einem Typen, der F5 verwendet, und einem Knoten in einem Botnetz?
Aber wie dem auch sei, nehmen wir an, wir haben einen magischen Algorithmus zur Verhaltensanalyse. DDoS-Angriffe zielen darauf ab, die Serverressourcen zu erschöpfen und sicherzustellen, dass die Maschine nicht erreichbar ist. Die Anwendung komplexer Datenanalysen auf ein Problem, das durch Ressourcenknappheit verursacht wird, wirdverschärfendas Problem, nicht es lösen.
Leider ist es so, dass selbst das Ignorieren einer Verbindung einige Ressourcen verbraucht. Sie könnten einen Dienst wie Cloudflare in Betracht ziehen, der Caching für eine geringe Ressourcennutzung pro Anfrage mit (glaube ich) menschlicher DDoS-Erkennung kombiniert, aber die Neuimplementierung dieses Dienstes selbst ist für die meisten Projekte wahrscheinlich nicht machbar und würde die Komplexität massiv erhöhen.
Antwort2
Man kann nicht begrenzenihnen. Wenn jemand auf Sie schießt, wie legen Sie dann eine Grenze fest, wie viele Kugeln er auf Sie abfeuern kann? Bis die Kugel Sie erreicht, ist der Schaden bereits angerichtet.