iT邦幫忙

0

DDOS攻擊可否透過IPS與WAF緩解

D_L 2019-09-19 11:03:141423 瀏覽

如果在防火牆上啟用IPS,將常見的攻擊封包的來源IP都送到防火牆黑名單中
加上再啟用WAF防護,細查封包的內容,判斷是否合法,如果有可疑的通通把來源IP送到防火牆黑名單

按照上述邏輯時,縱使面臨大規模的DDOS,是否也可以透過黑名單來防禦,維持網站正常運作?
或者至少面臨攻擊時,可以逐步緩解攻擊力道強度(根據黑名單的數量激增)?

還是網站在這些封包到防火牆跟WAF之前,其實網站頻寬就已經被塞爆了

kgame iT邦新手 4 級 ‧ 2019-09-20 10:43:00 檢舉
想想上海Costco,你用黑名單在門口擋下低端大媽,也無法舒緩人流

1 個回答

10
raytracy
iT邦大神 1 級 ‧ 2019-09-19 11:16:15
最佳解答

DDoS 有多種不同的層級和方法, 不能一概而論....

通常 Layer 7/4 的攻擊, 才有機會用 FW/WAF 去阻擋, 而且基本上 WAF 的功能主要是擋入侵, 不是擋阻斷攻擊, 他對於 Layer 4 的 TCP syn 攻擊也無效, 只有 FW 能擋. (某些 WAF 宣稱它可以擋, 是因為他跳下來做了 L4 的功能, 有點跨界的味道; 一般 WAF 只看 L7)

至於 Layer 3 層級的 UDP Flooding 攻擊, 一旦 UDP 封包進入你的 upstrem 線路內, 本地設備根本無用, 你必須在上游的 Gateway 之前就已經將他攔下; 唯一可行方案, 是用 FW 跟網路清洗中心建立 GRE Tunnel, 將入口 upstream 流量先轉給清洗中心, 清洗完之後的乾淨流量再送回來給你. 但這是要付費給清洗中心處理的.

D_L iT邦新手 5 級 ‧ 2019-09-19 11:34:04 檢舉

謝謝您的回覆,我忽略了L7/L4以外的情境了,看來這個想法可以打包丟了

我要發表回答

立即登入回答