DDoSを防ぐための2つの外部IP？

Hitronデバイスはまだゲートウェイとして機能しています。つまり、2番目のデバイスをターゲットとするトラフィックはすべて、Hitronで処理する必要があります。 Hitronデバイスのリソースが不足すると、Hitronをゲートウェイとして使用しているすべてのホストが影響を受けます。

まず第一に、VPNのような外部ゲートウェイなしでこの問題を回避することはあまり効果的ではありません。ただし、物理的に分離された2番目の接続を取得する可能性を評価できます。 （たとえば、ドイツでは、電話回線以外にインターネット用のTVケーブルを使用するオプションがあります）ISPに問い合わせることもできます。

前述のように、同じゲートウェイを介したセカンダリIPは役に立ちません。このテキストベースの図は、その理由を示しています。

{INTERNET} <---> [Hitron, the Gateway, 2xIP] <--IP Passthrough---(a)
   (a)---> [dd/wrt NightHawk, 2xIP] <---> Devices on the network

Hitronデバイスが最初にすべてのトラフィックを確認してから、それを介してNightHawkに移動するため、IPパススルーのみが機能します。そのため、この場合、セカンダリIPは役に立ちません。Hitronデバイスが「ネット」へのゲートウェイであるためです。

DDoSの詳細は、攻撃に選択された攻撃ベクトルに依存します。ネットワークの利用可能なすべての帯域幅を消費する帯域幅飽和について心配しているようです。このようなDDoSは、パイプに過負荷をかけ、ネットワークのすべてのリソースを消費するように設計されています。つまり、100 Mbpsのトラフィックしか処理できないパイプがあり、ボットネット/ DDoSを介して500 Gbpsのトラフィックで攻撃する場合、すべてのリソースを消費していることになります。 DDoSがヒットし、ネットワークパイプ全体（インターネットからISP、次にネットワークへ）を消費するため、QoSでもその問題を解決することはできません。セットアップで最初にヒットするのはHitronです。 。これを方程式から削除すると、NightHawkを着信接続に接続しても、ネットワーク全体がダウンします。これも次のヒットになるためです。

これが機能する唯一の方法は、ISPがDDoSの開始時にプライマリIPアドレスを「nullroute」できるか、DDoSトラフィックのフィルタリングを開始できるかどうかです。それがnullになっても、2番目のIPは機能するか、どちらもISP側でフィルタリングを実行して動作します。ただし、その2番目のIPが他のIPと同じサブネット内にある場合、本当にその可用性を混乱させたいのであれば、DDoSでそのサブネットもターゲットにする可能性が高いことに注意してください。 ISPは、サービスの料金を支払うことを条件に、DDoSフィルタリングまたは軽減も提供する場合があります。

あなたが考えているタイプの真のフェイルオーバーは、2番目のデバイスが引き継ぎ、しないまだDDoSを取得しているのは、ネットワークへの2番目の接続です最初が「攻撃中」のときに切り替えることができます。

ただし、これは最も基本的な緩和策に過ぎません。なぜなら、あなたを追いかける脅威アクターは可能性が高いため、最終的には他の接続を把握し、それを取り除くことになります。同様に、両方のネットワークゲートウェイを同時にターゲットにします。

DDoSは軽減するのが難しい場合があります。最善の方法は、ISPに連絡して、DDoSフィルタリングと軽減に役立つかどうかを確認することです。おそらく、DDoS軽減のための最良のリソースになるでしょう。