DDOS攻擊可否透過IPS與WAF緩解

ddos ips waf

D_L 2019-09-19 11:03:14 ‧ 4324 瀏覽

分享至

如果在防火牆上啟用IPS，將常見的攻擊封包的來源IP都送到防火牆黑名單中
加上再啟用WAF防護，細查封包的內容，判斷是否合法，如果有可疑的通通把來源IP送到防火牆黑名單

按照上述邏輯時，縱使面臨大規模的DDOS，是否也可以透過黑名單來防禦，維持網站正常運作?
或者至少面臨攻擊時，可以逐步緩解攻擊力道強度(根據黑名單的數量激增)?

還是網站在這些封包到防火牆跟WAF之前，其實網站頻寬就已經被塞爆了

kgame iT邦新手 4 級 ‧ 2019-09-20 10:43:00 檢舉

想想上海Costco，你用黑名單在門口擋下低端大媽，也無法舒緩人流

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2019-09-19 11:16:15

最佳解答

DDoS 有多種不同的層級和方法, 不能一概而論....

通常 Layer 7/4 的攻擊, 才有機會用 FW/WAF 去阻擋, 而且基本上 WAF 的功能主要是擋入侵, 不是擋阻斷攻擊, 他對於 Layer 4 的 TCP syn 攻擊也無效, 只有 FW 能擋. (某些 WAF 宣稱它可以擋, 是因為他跳下來做了 L4 的功能, 有點跨界的味道; 一般 WAF 只看 L7)

至於 Layer 3 層級的 UDP Flooding 攻擊, 一旦 UDP 封包進入你的 upstrem 線路內, 本地設備根本無用, 你必須在上游的 Gateway 之前就已經將他攔下; 唯一可行方案, 是用 FW 跟網路清洗中心建立 GRE Tunnel, 將入口 upstream 流量先轉給清洗中心, 清洗完之後的乾淨流量再送回來給你. 但這是要付費給清洗中心處理的.