Tier 1 轉接與分散式阻斷服務攻擊的迷思
發布日期:2025年6月11日
什麼是Tier 1 ISP?
全球網際網路是由數千個被稱為自治系統的網路組成。在最上層的是少數被稱為Tier 1的供應商,它們能夠在不支付其他人轉接費的情況下到達每一個網路。這些供應商透過與對等網進行無結算的流量交換,並擁有或租借足夠的國際容量來將數據包傳送到全球的任何角落。
為什麼DDoS保護常與轉接捆綁?
大型供應商運營著能夠每秒處理數太比特的路由器,並在數十個交換點進行對等連接。任何他們能在外圍阻擋的攻擊都能節省骨幹頻寬,保持所有客戶的延遲穩定,並防止擁塞鏈路的連鎖故障。因此,早期清除比允許垃圾流量在世界各地傳播後才丟棄更便宜。
舒適的迷思:盲點從何而來
供應商的防禦是針對威脅骨幹的事件調整的。他們監測突如其來的多太比特洪流、偽造的反射流量或路由循環。較小但仍具破壞性的攻擊可能會溜過,因為它們從未觸發骨幹級別的警報。即使供應商介入,首選工具通常也是一條黑洞路徑,簡單地丟棄發往受害者前綴的每個數據包。細粒度的過濾,僅阻擋一個端口、一個殭屍網絡子網或一個協議選項,則需要供應商對數千名客戶的上下文資料。
當超大規模事件發生時,為何「交給供應商」會失效
Tier 1...(文章繼續)