“首先，我们移动了 BGP IP 前缀，”Gargula 在详细说明攻击时说，“我试图将合法的人工流量与机器人流量隔离开来，而不是将其混淆。我们牺牲了它们的三个 BGP 上行链路层之一作为‘金丝雀’来测试攻击的复杂程度。然后我们更改了 IP 上行链路的配置。”

“移动 BGP IP 前缀有何帮助？”

我相信他们指的是一个沉洞——一个牺牲路由器，在这种情况下是一个 BGP 路由器，因为 BGP 可能不需要太多的身份验证。通过将 sinkhole 配置为“使用 bogon 目标地址发布路由，您可以为所有类型的恶意流量设置中央陷阱”[Hacking Exposed 7: Network Security Secrets and Solutions, 2012]。bogon 地址列表可在网上找到：www.cymru.com/Bogons，幻灯片

“而且，还有哪些其他复杂的 DDOS 技术？”

有许多复杂的 DDoS 技术。DDoS 利用分布式攻击面利用 DoS 方法。我们大多数人可能都知道 SYN 泛洪，其中发送带有欺骗源地址的同步数据包，接收系统尝试确认它没有收到响应，并且在一个很容易被泛洪禁用的短队列中留下部分连接。类似地，设计了 UDP 泛洪，源 IP 地址经常被欺骗到依赖 UDP 协议的目标 DNS 服务器。

反射放大是另一种 DDoS 攻击 (DRDoS)，它再次使用欺骗。僵尸网络经常发送数据包，源地址是受害者的 IP 地址，数据包被发送到试图同时响应受害者的机器，产生大量的数据包发送给受害者。例如，DNS 服务器响应具有大量信息的小请求，DNS 放大可能会使受害者的系统不堪重负。

应用层 DDoS 攻击在更高级别使用相同的想法，例如 Web 级别，而不是传输或通信级别。在这里，攻击者的目标是找到一个简单而简短的请求，该请求会在受害者的 API 中生成大量工作。例如，一个单词搜索请求会占用受害者机器上的大量周期。或者数据库驱动的站点，可能有在请求 URL 时触发数据库查询的页面。现在，攻击者每秒可以只使用几个查询，无论是否以分布式方式发出请求，都会让受害者的机器停止运转。

还有一种低速率 DoS 攻击，攻击者使 TCP 连接进入重传状态。如果有足够多的连接进入此状态，受害者的机器就会遭受性能下降。

有关 DDoS 攻击的更多讨论，请参阅Hacking Exposed 7: Network Security Secrets & Solutions。更多攻击参见维基百科：https ://en.wikipedia.org/wiki/Denial-of-service_attack

仅在我看来！

拒绝服务攻击没有复杂性，但在 DDOS 中，唯一的复杂性是您可以同时从更多目标发起攻击。所以....如果（大脑）{没什么大不了的}。

移动 BGP IP 前缀有何帮助？

好吧，您可以使用 BGP 做两件事来防御 DDOS：

1. RTBH - 远程触发黑洞（激进的）

IP 受到攻击的黑洞（停止流量）。缺点：目标 IP 不再可访问。好处：您网络的其余部分保持正常运行。

2. 基于源的 RTBH（第二个选项建立在第一个选项的基础上）

RTBH 也可用于（在某些配置中）阻止来自特定 IP 的流量（在真正的 DDoS 中，这无济于事，因为流量会来自数千个 IP）。

在您的情况下，您可以从 RADB 等路由数据库中获取 AS 的所有前缀，并使用基于源的 RTBH 阻止这些前缀。不过，流量仍然会在边境到达您的网络。

当您使用“简单”的 RTBH 时，优势是您可以将这些 RTBH 路由发送给您的上游 ISP（如果他们支持的话），然后他们可以阻止他们网络中的流量，这样您就不必处理它了。

简短的回答：

您在同一网络上有 A、B、C、D 服务器（不同的 IP）... A 受到攻击！A 被 DDOS 删除，B、C、D 也进入睡眠状态，因为您使用相同的网络。您在 DDOS 范围之外杀死移动 A，然后唤醒 B、C、D。