Anti-DDoS >


DDoS Mitigaatio




DDoS-hyökkäyksen mitigaatio



Hyökkäyksen estäminen, oikeutetun liikenteen kulun hyväksyminen


Mitigaatio on termi, jota käytetään tarkoitettaessa niitä toimintatapoja, joita käytetään riskin aiheuttamien kielteisten vaikutusten häivyttämiseksi. DDoS-hyökkäyksiä vastaan käytettynä mitigaatio merkitsee oikeudettoman liikenteen suodattamista ja imurointia VACin kautta, päästäen samalla oikeiden pakettien jatkaa kulkuaan.


VAC koostuu useista laitteista, jotka kukin hoitavat tietyn osa-alueen suojatakseen palveluita tietyltä tai usealta erilaiselta hyökkäykseltä kuten DDoS ja Flood. Hyökkäystyypistä riippuen voidaan käyttää yhtä tai useampaa strategiaa kullakin VACin muodostavalla laitteella.



VAC:n osat



Toiminnot - upstream-palomuuri


  • UDP-fragmentti
  • Pakettien koko
  • TCP-, UDP-, ICMP-, ja GRE-protokollien autorisointi
  • Kaikkien muiden protokollien esto

Toiminnot - Palomuuriverkko


  • IP-osoitteen tai IP-aliverkon autorisointi tai esto
  • Protokollan autorisointi/esto:
    • IP (kaikki protokollat)
    • TCP
    • UDP
    • ICMP
    • GRE
  • Salli/estä TCP/UDP portti tai porttialue
  • SYN/TCP:n autorisointi/esto
  • Kaikkien muiden pakettien kuin SYN/TCP autorisointi/esto


Toiminnot - Shield


  • Väärin muodostettu IP-otsake
  • Väärä Checksum IP
  • Väärä Checksum UDP
  • ICMP-rajoitus
  • Väärin muodostettu UDP datagrammi
  • DNS Amp.

Toiminnot - Armor


  • Väärin muodostettu IP-otsake
  • Vaillinainen fragmentti
  • Väärä Checksum IP
  • Duplikoitu fragmentti
  • Liian pitkä fragmentti
  • Liian lyhyt IP / TCP / UDP / ICMP -paketti
  • Väärä Checksum TCP/UDP
  • Kelpaamattomat TCP Flags
  • Kelpaamaton sekvenssinumero
  • Zombien tunnistus
  • TCP SYN -autentikointi
  • DNS-autentikointi
  • Huonosti muotoiltu DNS-kysely
  • DNS rajoitus