我在想,DDoS 攻擊是否可以透過兩種方式進行:
- 發送大數據包。
- 發送許多資料包。
為什麼網路管理員不限制 IP 連線(假設 3 個使用者/IP)並對其頻寬設定限制?
我沒有看到問題所在。我知道許多軟體產品,例如 NetLimiter 3 Pro,可以很好地限制頻寬,但它們不會限制使用者/IP。
答案1
首先,我們來定義一下「DDOS」這個字。這代表分散式阻斷服務,正在分發關鍵字。如果您限制每個 IP 的連線數量,也沒關係,因為您的系統有十萬個不同的 IP 位址。
所以你可以透過請求大小來限制。太好了,您如何區分 F5 攻擊者和殭屍網路中的節點?
但無論如何,假設我們有一個神奇的行為分析演算法。 DDoS 攻擊旨在耗盡伺服器資源並確保機器無法存取——針對資源匱乏引起的問題進行複雜的資料分析將會加劇的問題,而不是解決它。
不幸的是,即使忽略連線也會佔用一些資源。您可以考慮研究像Cloudflare 這樣的服務,它將每個請求的低資源使用率快取與(我相信)人工輔助DDoS 檢測相結合,但自己重新實現此服務可能超出了大多數項目的範圍,並且會大大增加複雜性。
答案2
你無法限制他們。如果有人向你射擊,你如何限制他們向你發射的子彈數量?當子彈飛到你身上時,傷害已經造成了。