DDoS obrana je obramba v globino: noben sam kontrolnik ne ustavi vsakega napada, zato zgradiš plasti, ki vsaka absorbira, filtrira ali blokira drugačen razred prometa. Vrstni red je pomemben — čim več dela potisni na rob, stran od tvojega izhodišča.
DDoS obrana je obramba v globino: noben sam kontrolnik ne ustavi vsakega napada, zato zgradiš plasti, ki vsaka absorbira, filtrira ali blokira drugačen razred prometa. Vrstni red je pomemben — čim več dela potisni na rob, stran od tvojega izhodišča.
429 Too Many Requests. Ustavi zlorabljajoče odjemalce brez škode normalnim.Mentalni model je absorbiraj -> filtriraj -> blokiraj:
Internet flood
-> CDN + anycast : ABSORB volume across global PoPs
-> scrubbing : drop obvious junk (L3/L4 floods)
-> WAF : FILTER malicious HTTP (L7)
-> rate limiting : throttle abusive clients (429)
-> origin (autoscaled) : serve the clean remainder
-> ISP null-route : last resort if origin IP is overwhelmed
Volumetrični napadi umrejo v plasti CDN/čistilnega centra; napadi na plast aplikacije, ki izgledajo kot pravi promet, filtrirajo WAF in omejilnik hitrosti.
Zanašanje na eno plast neizogibno odpove: WAF ne more ustaviti 1 Tbps toka (cev se najprej zasiti), in sam CDN bo z veseljem spustil pametni HTTP tok skozi do tvojega izhodišča. Plastenje pomeni, da vsak razred napada sreča kontrolnik, namenjen zanj, in izhodišče vidi samo promet, ki ga zunanje plasti niso mogle obravnavati same.