日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

遭到大流量DDoS攻擊如何清洗?

云知道

Dos拒絕服務(wù)攻擊是通過(guò)各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)CPU、內(nèi)存、連接數(shù)等資源,直接造成網(wǎng)絡(luò)帶寬耗盡或系統(tǒng)資源耗盡,使得該目標(biāo)系統(tǒng)無(wú)法為正常用戶(hù)提供業(yè)務(wù)服務(wù),從而導(dǎo)致拒絕服務(wù) 。常規(guī)流量型的DDos攻擊應(yīng)急防護(hù)方式因其選擇的引流技術(shù)不同而在實(shí)現(xiàn)上有不同的差異性,主要分為以下三種方式,實(shí)現(xiàn)分層清洗的效果 。
1.本地DDos防護(hù)設(shè)備
一般惡意組織發(fā)起DDos攻擊時(shí),率先感知并起作用的一般為本地?cái)?shù)據(jù)中心內(nèi)的DDos防護(hù)設(shè)備,金融機(jī)構(gòu)本地防護(hù)設(shè)備較多采用旁路鏡像部署方式 。
本地DDos防護(hù)設(shè)備一般分為DDos檢測(cè)設(shè)備、清洗設(shè)備和管理中心 。首先,DDos檢測(cè)設(shè)備日常通過(guò)流量基線(xiàn)自學(xué)習(xí)方式,按各種和防御有關(guān)的維度:比如syn報(bào)文速率、http訪(fǎng)問(wèn)速率等進(jìn)行統(tǒng)計(jì),形成流量模型基線(xiàn),從而生成防御閾值 。
學(xué)習(xí)結(jié)束后繼續(xù)按基線(xiàn)學(xué)習(xí)的維度做流量統(tǒng)計(jì),并將每一秒鐘的統(tǒng)計(jì)結(jié)果和防御閾值進(jìn)行比較,超過(guò)則認(rèn)為有異常,通告管理中心 。
由管理中心下發(fā)引流策略到清洗設(shè)備,啟動(dòng)引流清洗 。異常流量清洗通過(guò)特征、基線(xiàn)、回復(fù)確認(rèn)等各種方式對(duì)攻擊流量進(jìn)行識(shí)別、清洗 。
經(jīng)過(guò)異常流量清洗之后,為防止流量再次引流至DDos清洗設(shè)備,可通過(guò)在出口設(shè)備回注接口上使用策略路由強(qiáng)制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò),訪(fǎng)問(wèn)目標(biāo)系統(tǒng) 。
2.運(yùn)營(yíng)商清洗服務(wù)
當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDos清洗設(shè)備性能不足以應(yīng)對(duì)DDos流量攻擊時(shí),需要通過(guò)運(yùn)營(yíng)商清洗服務(wù)或借助運(yùn)營(yíng)商臨時(shí)增加帶寬來(lái)完成攻擊流量的清洗 。
運(yùn)營(yíng)商通過(guò)各級(jí)DDos防護(hù)設(shè)備以清洗服務(wù)的方式幫助用戶(hù)解決帶寬消耗型的DDos攻擊行為 。實(shí)踐證明,運(yùn)營(yíng)商清洗服務(wù)在應(yīng)對(duì)流量型DDos攻擊時(shí)較為有效 。
3.云清洗服務(wù)
當(dāng)運(yùn)營(yíng)商DDos流量清洗不能實(shí)現(xiàn)既定效果的情況下,可以考慮緊急啟用運(yùn)營(yíng)商云清洗服務(wù)來(lái)進(jìn)行最后的對(duì)決 。
依托運(yùn)營(yíng)商骨干網(wǎng)分布式部署的異常流量清洗中心,實(shí)現(xiàn)分布式近源清洗技術(shù),在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉,提升攻擊對(duì)抗能力 。
具備適用場(chǎng)景的可以考慮利用CNAME或域名方式,將源站解析到安全廠(chǎng)商云端域名,實(shí)現(xiàn)引流、清洗、回注,提升抗D能力 。進(jìn)行這類(lèi)清洗需要較大的流量路徑改動(dòng),牽涉面較大,一般不建議作為日常常規(guī)防御手段 。
以上三種防御方式存在共同的缺點(diǎn),由于本地DDos防護(hù)設(shè)備及運(yùn)營(yíng)商均不具備HTTPS加密流量解碼能力,導(dǎo)致針對(duì)HTTPS流量的防護(hù)能力有限;
【遭到大流量DDoS攻擊如何清洗?】同時(shí)由于運(yùn)營(yíng)商清洗服務(wù)多是基于Flow的方式檢測(cè)DDos攻擊,且策略的顆粒度往往較粗,因此針對(duì)CC或HTTP慢速等應(yīng)用層特征的DDos攻擊類(lèi)型檢測(cè)效果往往不夠理想 。
對(duì)比三種方式的不同適用場(chǎng)景,發(fā)現(xiàn)單一解決方案不能完成所有DDos攻擊清洗,因?yàn)榇蠖鄶?shù)真正的DDos攻擊都是“混合”攻擊(摻雜各種不同的攻擊類(lèi)型) 。
比如:以大流量反射做背景,期間混入一些CC和連接耗盡,以及慢速攻擊 。這時(shí)很有可能需要運(yùn)營(yíng)商清洗(針對(duì)流量型的攻擊)先把80%以上的流量清洗掉,把鏈路帶寬清出來(lái);在剩下的20%里很有可能還有80%是攻擊流量(類(lèi)似CC攻擊、HTTP慢速攻擊等),那么就需要本地配合進(jìn)一步進(jìn)行清洗 。
這里推薦大家使用藍(lán)隊(duì)云 美國(guó)高防服務(wù)器,位于美國(guó)加州圣何塞機(jī)房,不但國(guó)內(nèi)訪(fǎng)問(wèn)速度快,而且接入的也是國(guó)際BGP線(xiàn)路,默認(rèn)30M獨(dú)享帶寬、無(wú)限流量,免費(fèi)提供10G 真實(shí)防御,可隨時(shí)升級(jí)防御到1TB,很好的解決各種CC、流量等DDOS攻擊問(wèn)題,為您的業(yè)務(wù)保駕護(hù)航 。

推薦閱讀