DDOS를 완화하기 위해 들어오는 트래픽을 높은 대역폭, 낮은 대기 시간 네트워크로 필터링하려고합니다. 들어오는 트래픽은 사용자 지정 UDP입니다 (필요한 경우 IP 헤더를 강제로 적용 할 수 있도록 프로토콜 사양을 설정하고 있습니다). 일부 인증 토큰은 스푸핑 된 트래픽을 삭제하는 데 도움이 될 수 있습니다. 인증 된 트래픽 만 수락합니다 (단일 사용 인증 토큰은 사이드 채널에서 얻습니다).
“조각화 안 함”IP 헤더 플래그를 ON으로 설정하면 트래픽을 필터링하기 위해 인증 토큰에 의존 할 수 있으므로 괜찮습니다.
제대로 조각난 패킷을 어떻게 처리 할 수 있는지 알고 싶습니다. 특히 “장미”및 “새 새벽”과 같은 오래된 IP 조각 공격에 대비합니다. 이러한 공격에서는 조각 만 받기 때문에 모든 조각이 다시 어셈블 될 때까지 인증 토큰을 사용하여 트래픽이 정상인지 여부를 확인할 수 없습니다.
나는 처음 IPSec은 괜찮을 것이라고 생각했지만 빠른 위키 백과를 본 후에 AH 헤더는 재 조립 후에 만 얻어지는 것 같습니다 (잘못되면 수정하십시오). 우리는 여전히 똑같은 문제에 직면하고 있습니다.
기술적으로 내 인증 토큰을 IP 헤더 옵션 필드 (가장 중요한 비트 세트로 모든 조각에 복사 됨)로 추가하는 것이 가능하다고 생각하지만 좋은 습관인지 어떻게 알 수 있는지 모르겠습니다. 외부 라우터 (패킷이 네트워크에 도달하기 전에)가이 패킷을 처리합니다.
엔드 포인트 시스템에 도달하기 전에 이상적으로 패킷은 소프트웨어 스위치 네트워크 (OSI의 레벨 2)를 통해 사용자 지정 규칙을 설정하고 싶습니다. 따라서 IP 패킷을 재 조립하기 전에 필터링해야합니다.