请选择 进入手机版 | 继续访问电脑版
您好,欢迎来到新创意SEO  

新创意SEO

 找回密码
 立即注册

原创展

DDoS攻击防御方案

查看: 151|回复: 0
  • 14威望
  • 112积分
  • 47帖子
    • 等级 2SEO书生
    UID
    34447
    日志
    0
    精华
    0
    在线时间
    20 小时
    个人主页
    发表于 2019-9-4 16:43:55 |显示全部楼层
    马上注册,结交更多好友,享用更多功能,让你轻松玩转新创意SEO。 立即注册  已有账号?点击登录 您也可以直接QQ登录 微博登录关闭

    DDoS攻击防御方案 [复制链接]

    SEO优化扫我
    DDoS攻击威胁现状

    对于DDoS攻击,有多种分类方式,例如流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等)、应用层的DDoS攻击(如Http Get Flood、连接耗尽、CC等)、慢速DDoS攻击以及基于漏洞的DDoS攻击。其中,最难应对的是分布式放大型DDoS攻击,对于此类攻击,从被攻击者的角度看,所有数据包都是正常的,但数量是海量的,一般可以达到300G—2T,且随着宽带网络时代的来临,发生的几率越来越高。对于企业用户的服务器,其通常部署在电信运营商的IDC中心,并租用电信运营商的100/1000M、10G链路接入互联网。类似的,对于电信运营商的自有系统,一般也是采用100/1000Mbps链路接入互联网的。总之,相对于流量超过300G的DDoS攻击来说,用户网络接入带宽是非常小的。

              现有异常流量清洗方案及其不足

    传统方案不足以支持较大的DDoS攻击流量。DDoS攻击的对象是客户的业务服务器,这些业务服务器通常位于运营商的IDC中心,或者企业自建网络中。传统的异常流量清洗设备是近业务主机部署的,由于建设主体不同,通常由异常流量监测设备、异常流量清洗设备组成,那么方案不足:

    ​1、异常流量清洗设备的清洗能力一般在几十G(采用异常流量清洗设备集群方式实现)以下,对于高出清洗能力的DDoS攻击,仍将使服务中断或服务水平下降;

    2、即使攻击流量在防护范围以下,由于攻击流量占用了大量带宽,仍将使服务水平下降,用户体验降低;

    3、无法防御来自内部(从下至上流量,在异常流量清洗设备防护范围之外)的DDoS攻击。

            一味的追求高性能方案,又导致服务能力下降

    对于传统的异常流量清洗方案,其最大的短板在设备的清洗能力不足,于是最先想到的是提高攻击流量清洗能力。又由于业务服务器的网络接入链路带宽及接入路由器处理能力有限,所以异常流量清洗系统的部署位置需要往上移动,通常在省干出口路由器上部署流量清洗设备(当然,也可以将异常流量清洗设备部署在城域网路由器上,但这种方案在同等防护能力的情况下,将使用更多的设备,投资更高)。方案不足:

    1、 无法处理200G之上流量的DDoS攻击;

    2、 无法防护来自城域网(自下向上,在异常流量清洗设备防护范围之外)的DDoS攻击;

    3、 在电信运营商的骨干网上具有大量的无用的DDoS攻击流量,浪费了宝贵的骨干网带宽和设备处理能力,造成网络服务水平下降;

    4、 防护设备价格高,方案性价比低。

             深圳鼎峰网络致力于香港服务器产品的研发以及提供安全防护的各种解决方案。香港实现高防御是非常困难的事情,困难的原因一方面在于防御的技术性解决方案,一方面在于成本高,性价比低。但是,攻击是趋势,提供新的安全防护的解决方案也是必定的趋势。

           大流量DDoS攻击清洗方案

    从DDoS攻击的趋势看,未来DDoS攻击的流量约来越大,如果仅仅采用近业务主机的异常流量清洗方案,即使防护设备能力再高,也无法赶上DDoS攻击流量的增长,无法满足防护要求。而采用近源清洗的方式,将异常流量清洗设备分散部署在靠近攻击源的位置,每个清洗设备只清洗一部分,综合起来,就具有了巨量的异常流量清洗能力,且其防护能力具有非常好的弹性,不仅可以满足现在的需要,还可以满足抵御更高的大流量DDoS攻击的需要。

    实现异常流量清洗需要检测和清洗能力的结合,如果只采用近源流量清洗的方式,由于攻击流量小,告警阀值低,容易产生误判和漏判的问题。因此总体设计思路如下:

    1、采用检测和清洗能力分离的方式。从提高检测灵敏度和经济性的角度考虑,尽可能将检测设备靠近业务主机部署,或者在核心网进行检测。而对于清洗设备来说,尽量多的靠近攻击源进行部署。

    2、近源和近业务主机清洗方式相结合。通过近源部署清洗设备的方式,可以获得非常大的异常流量清洗能力和弹性,同时也可以降低成本。但是,如果每个异常流量清洗点漏洗一部分攻击流量,比如说开启流量清洗动作阀值下的流量,这些流量汇聚到业务主机,也就形成了DDoS攻击,因此还需要近业务主机部署清洗设备,以处理这种情况。

    3、双向异常流量清洗。对于某些网络接入点或网络区域的业务主机来说,其可能会受到外部的DDoS攻击,同时其也会向外发送DDoS攻击数据,且这两种情况可能同时发生,因此需要进行双向异常流量清洗。

    4、统一管理和协同。对于一次具体的大流量DDoS攻击来说,一旦检测设备检测到攻击,就需要按需调动相应的清洗设备按照统一的策略进行异常流量清洗,因此需要对所有清洗设备进行统一管理,做好动作协同。

    另外,为了减少误判、漏判的发生,需要将异常流量检测设备的检测数据汇聚起来,进行筛选、比对和分析,提高检测准确率,减少漏报率,并能够根据攻击来源,明确需要调动的清洗设备。
    鼎峰网络引领香港服务器独享大带宽时代,咨询企Q:3002070437

    发表回复

    您需要登录后才可以回帖 登录 | 立即注册

    发帖时请遵守我国法律,网站会将有关你发帖内容、发帖时间以及你发帖时的IP地址的记录保留至少60天,并且只要接到合法请求,即会将这类信息提供给有关政府机构。
    回顶部