T级攻击态势下解析DDOS高防IP系统架构

DDoS防御发展史

DDoS(DistributedDenialofService，分布式拒绝服务)是目前最强大、最难防御的网络攻击之一，主要通过大量合法请求占用大量网络资源，使合法用户无法得到服务响应。

DDoS防御作为一种古老的攻击方式，也经历了多个发展阶段：

1.核心优化时代

早期没有专业的防护清洗设备DDoS当时互联网的带宽也比较小，很多人都在用56K的modem拨号上网时，攻击者可以使用的带宽也相对较小，对于防御者，一般通过内核参数进行优化iptables攻击可以基本解决，有内核开发能力的人也可以通过写内核防护模块来提高防能力。

在此期间，使用Linux提供的功能可以基本防御DDoS攻击。比如针对SYNFLOOD攻击，调整net.ipv4.tcp_max_syn_backlog半连接队列上限控制参数，避免连接打满调整net.ipv4.tcp_tw_recycle，net.ipv4.tcp_fin_timeout来控制tcp状态保持在TIME-WAIT，FIN-WAIT-2连接数；针对ICMPFLOOD攻击，控制IPTABLES来关闭和限制ping也可以过滤掉报文的速率RFC协议规范的畸形报告。然而，这种方法只是优化单个服务器。随着攻击资源和力量的逐步增强，这种保护方法似乎无能为力。

2.专业anti-DDoS硬件防火墙

专业anti-DDoS硬件防火墙优化了功耗、转发芯片、操作系统等各个部DDoS流量清洗的要求IDC服务提供商会购买anti-DDoS硬件防火墙部署在机房入口处，为整个机房提供清洁服务。这些清洁箱的性能逐渐从100兆字节发展到1Gbps、10Gbps、20Gbps、100Gbps或者更高，提供的清洗功能基本涵盖3-7层的各种攻击(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等)。

这种方式对IDC对于服务提供商来说，成本相当高。每个机房的入口都需要清洁设备和专业的运维人员来维护，而不是每个机房IDC机房可以有相同的清洁和保护能力，有些小机房可能只有20个G带宽，没有能力重复使用这些清洁设备。

3.云时代的DDoS高防IP防护方案

在云时代，服务部署在各种云上，或者传统的IDC他们提供的机房DDoS基础清洁服务标准不一致，流量过大DDoS在攻击情况下，托管机房不能提供相应的保护能力，必须有黑洞的概念来保护其服务免受影响。黑洞是指服务器攻击流量超过IDC机房黑洞阈值时，IDC机房将屏蔽服务器的外网访问，避免持续攻击，影响整个机房的稳定性。

在这种情况下，DDoS高防IP通过建立各种大带宽机房，提供全套DDoS解决方案，转移流量DDoS高防IP进行保护，然后将清洁后的清洁流量转发回用户真正的源站。这样，机房资源将被重用，专业机房将做专业的事情DDoS以保护的复杂性SaaS提供化学方式DDoS清洗服务。

硬件防火墙

大型集群服务器

由此可见，云时代DDoS高防IP既能满足大宽带的刚性需求，又具有隐藏源站、灵活更换清洁服务商的优点。

DDoS高防IP关键组成系统

1.带宽&网络

带宽&网络是DDoS保护的第一要求是拥有高带宽的机房。目前国内主流机房主要有电信单线机房、联通单线机房、移动单线机房BGP多线机房。

单线机房和BGP多线机房的特点和区别是什么？

另一个维度是目前国内的带宽上限DDoS高防IP来说，300Gbps防护能力为入门级，1Tbps越来越多的用户选择保护能力甚至无限抗解决方案。

2.大流量清洗集群

这是另一项关键技术。DDoS清洗的核心部分是拦截攻击流。一般攻击类型和对抗系统如下：

(1)攻击防护:在带宽资源充足的情况下，如何正确DDoS下一步需要考虑攻击流量清洗，一般来说，专业DDoS清洗防护设备的主要防护方法有：畸形包、特定协议丢弃、源反弹认证体系、统计限速&行为识别。一般有攻击类型SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等。

丢弃畸形包和特定协议很简单，即不符合RFC协议规范的报纸和反射攻击可以通过指定纸和反射攻击。

针对源反弹认证synflood的防护方法，一般采用反向验证的防护方法，如syncookie，也就是说，清洗设备在服务端验证访问源的真实性TCP三次握手，回复synack使用特殊算法生成报文SequenceNumber，考虑到对方的算法IP、端口、己方IP、端口的固定信息和其他信息ack报文时确认。假如是真正的访问者，放行流量。同样，复杂CC攻击可以通过反弹图像验证码来验证攻击者是否是真实客户。

统计限速&在这里，行为识别将整合各种黑白名单，用户访问速度和行为，以保护速度控制。

(2)集群结构:目前DDoS在防护趋势下，防护必须具有弹性扩容能力，才能跟上进攻防御的趋势。此外，这里还将提到100G口腔的普及。一般来说，流量的负载平衡是根据五元组的特点进行的hash若单口带宽较小(10)Gor40G)，一旦攻击流量的五元组hash不均匀，他们有更大的机会拥堵，流量根本不会送到清洁设备发动机。这也是大集群清洁系统的重要组成部分。

(3)操作系统:DDoS对抗操作也是一个非常关键的环节，需要多年的实时对抗经验。快速分析和决策是解决问题的关键部分。

3.负载均衡设备&安全组件

负载均衡技术是代理高防的关键技术，包括4层负载均衡和7层负载均衡。

四层负载平衡技术为每个客户业务提供独家享受IP，本身的转发能力应具有高性能、高可用性和安全防护能力，能够对抗连接攻击。

7层负载业务的代理和保护，7层负载平衡技术是正确的HTTP/HTTPS协议的支持，各种CC攻击保护将集成在7层负载均衡系统中。

• 独享IP。优点是业务IP被DDoS攻击不会影响其他业务和资源隔离。

• 高可用性和可扩展性。在流量波动的情况下，根据应用负载进行弹性扩展服务。后端服务器的数量可以随时增加或减少，并根据业务需要扩大应用程序的服务能力。

• 安全能力in/out双向流量信息可提供精细化、域名级、session应用级别DDoS防护。

深入开发4层和7层的安全功能，配合上下游，各取所长，配合大流量清洗集群，达到极致保护。

4.实时数据分析系统

(1)流量分析

首先是数据源，数据源机制有很多种，比较熟悉使用NetFlow采样分析攻击检测也可以通过1:1分光分流获得所有流量统计检测。显然，1:1分光需要更高的资源和更高效的数据分析系统，需要研发能力和技术支持，也会取得更好的效果。

(2)应用识别

拿到原始报文和数据后，需要做的就是区分应用。应用程序的区别可以是IP等级，可以IP 端口级别，也可以是域名级别等。不同业务的防御方法不同，需要根据业务特点制定专业的防御方案。

(3)攻击分析

目前DDoS攻击分析摆脱了以往的统计分析算法，引入了行为识别和机器学习的理论和实践，帮助我们更好地保护攻击。我们还应该注意如何有效地将这些算法实时应用于用户的防御对抗。

综上来看，DDoS木桶短板原理存在攻击防护，任何攻击防护点的效果都会影响整体防御效果DDoS高防IP应该具备弹性带宽、高冗余、高可用、访问质量优、业务接入简单的特点。同时通过DDoS防护能力的OPENAPI开放用户自动化运维系统，实现安全与业务相结合，更好地帮助业务发展。

微云网络DDoS高防ip

微云网络为游戏、金融、网站等用户遭受大流量DDoS如果攻击后服务不可用，就推出DDoS高防ip付费增值服务，用户可以配置高防IP，将ddos将攻击流引流到高防IP，确保源站稳定可靠！详细询问在线客服！