旁路部署dns reply flood防御 中反射攻击防范为什么不勾选

发布时间:  2014-08-12 浏览次数:  516 下载次数:  0
问题描述
ddos开局时,atic上很多界面功能,用户和工程师都不清楚是否需要勾选,如旁路部署dns reply flood防御 中反射攻击防范为什么不勾选

告警信息
处理过程
如上图所示,旁路部署,不勾选反射攻击防范,如希望勾选一定要通过路由策略使DNS服务器上下行流量都经过清洗设备。
根因
旁路部署坚决不能选择,会影响业务。
反射攻击防范是通过会话检测机制判断是否丢包,但ddos的会话由首包dns reques报文建立,但旁路部署,首包不经过设备,也建不了会话,如果开启这种机制会对业务造成很大影响。
开启功能时,需要DNS服务器的双向流量,必须通过路由策略使DNS服务器上下行流量都经过清洗设备。
建议与总结
ddos部署时各个功能选项一定要清楚使用场景,否则将影响用户业务。

END