T级攻击态势下解析DDOS高防IP系统架构
来源:James 时间:2022-08-02 09:14:23阅读:0
DDoS防御发展史
DDoS(DistributedDenialofService,分布式拒绝服务)是目前最强大、最难防御的网络攻击之一,主要通过大量合法请求占用大量网络资源,使合法用户无法得到服务响应。
DDoS防御作为一种古老的攻击方式,也经历了多个发展阶段:
1.核心优化时代
早期没有专业的防护清洗设备DDoS当时互联网的带宽也比较小,很多人都在用56K的modem拨号上网时,攻击者可以使用的带宽也相对较小,对于防御者,一般通过内核参数进行优化iptables攻击可以基本解决,有内核开发能力的人也可以通过写内核防护模块来提高防能力。
在此期间,使用Linux提供的功能可以基本防御DDoS攻击。比如针对SYNFLOOD攻击,调整net.ipv4.tcp_max_syn_backlog半连接队列上限控制参数,避免连接打满调整net.ipv4.tcp_tw_recycle,net.ipv4.tcp_fin_timeout来控制tcp状态保持在TIME-WAIT,FIN-WAIT-2连接数;针对ICMPFLOOD攻击,控制IPTABLES来关闭和限制ping也可以过滤掉报文的速率RFC协议规范的畸形报告。然而,这种方法只是优化单个服务器。随着攻击资源和力量的逐步增强,这种保护方法似乎无能为力。
2.专业anti-DDoS硬件防火墙
专业anti-DDoS硬件防火墙优化了功耗、转发芯片、操作系统等各个部DDoS流量清洗的要求IDC服务提供商会购买anti-DDoS硬件防火墙部署在机房入口处,为整个机房提供清洁服务。这些清洁箱的性能逐渐从100兆字节发展到1Gbps、10Gbps、20Gbps、100Gbps或者更高,提供的清洗功能基本涵盖3-7层的各种攻击(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等)。
这种方式对IDC对于服务提供商来说,成本相当高。每个机房的入口都需要清洁设备和专业的运维人员来维护,而不是每个机房IDC机房可以有相同的清洁和保护能力,有些小机房可能只有20个G带宽,没有能力重复使用这些清洁设备。
3.云时代的DDoS高防IP防护方案
在云时代,服务部署在各种云上,或者传统的IDC他们提供的机房DDoS基础清洁服务标准不一致,流量过大DDoS在攻击情况下,托管机房不能提供相应的保护能力,必须有黑洞的概念来保护其服务免受影响。黑洞是指服务器攻击流量超过IDC机房黑洞阈值时,IDC机房将屏蔽服务器的外网访问,避免持续攻击,影响整个机房的稳定性。
在这种情况下,DDoS高防IP通过建立各种大带宽机房,提供全套DDoS解决方案,转移流量DDoS高防IP进行保护,然后将清洁后的清洁流量转发回用户真正的源站。这样,机房资源将被重用,专业机房将做专业的事情DDoS以保护的复杂性SaaS提供化学方式DDoS清洗服务。
硬件防火墙
大型集群服务器
由此可见,云时代DDoS高防IP既能满足大宽带的刚性需求,又具有隐藏源站、灵活更换清洁服务商的优点。
DDoS高防IP关键组成系统
1.带宽&网络
带宽&网络是DDoS保护的第一要求是拥有高带宽的机房。目前国内主流机房主要有电信单线机房、联通单线机房、移动单线机房BGP多线机房。
单线机房和BGP多线机房的特点和区别是什么?
另一个维度是目前国内的带宽上限DDoS高防IP来说,300Gbps防护能力为入门级,1Tbps越来越多的用户选择保护能力甚至无限抗解决方案。
2.大流量清洗集群
这是另一项关键技术。DDoS清洗的核心部分是拦截攻击流。一般攻击类型和对抗系统如下:
(1)攻击防护:在带宽资源充足的情况下,如何正确DDoS下一步需要考虑攻击流量清洗,一般来说,专业DDoS清洗防护设备的主要防护方法有:畸形包、特定协议丢弃、源反弹认证体系、统计限速&行为识别。一般有攻击类型SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等。
丢弃畸形包和特定协议很简单,即不符合RFC协议规范的报纸和反射攻击可以通过指定纸和反射攻击。
针对源反弹认证synflood的防护方法,一般采用反向验证的防护方法,如syncookie,也就是说,清洗设备在服务端验证访问源的真实性TCP三次握手,回复synack使用特殊算法生成报文SequenceNumber,考虑到对方的算法IP、端口、己方IP、端口的固定信息和其他信息ack报文时确认。假如是真正的访问者,放行流量。同样,复杂CC攻击可以通过反弹图像验证码来验证攻击者是否是真实客户。
统计限速&在这里,行为识别将整合各种黑白名单,用户访问速度和行为,以保护速度控制。
(2)集群结构:目前DDoS在防护趋势下,防护必须具有弹性扩容能力,才能跟上进攻防御的趋势。此外,这里还将提到100G口腔的普及。一般来说,流量的负载平衡是根据五元组的特点进行的hash若单口带宽较小(10)Gor40G),一旦攻击流量的五元组hash不均匀,他们有更大的机会拥堵,流量根本不会送到清洁设备发动机。这也是大集群清洁系统的重要组成部分。
(3)操作系统:DDoS对抗操作也是一个非常关键的环节,需要多年的实时对抗经验。快速分析和决策是解决问题的关键部分。
3.负载均衡设备&安全组件
负载均衡技术是代理高防的关键技术,包括4层负载均衡和7层负载均衡。
四层负载平衡技术为每个客户业务提供独家享受IP,本身的转发能力应具有高性能、高可用性和安全防护能力,能够对抗连接攻击。
7层负载业务的代理和保护,7层负载平衡技术是正确的HTTP/HTTPS协议的支持,各种CC攻击保护将集成在7层负载均衡系统中。
独享IP。优点是业务IP被DDoS攻击不会影响其他业务和资源隔离。
高可用性和可扩展性。在流量波动的情况下,根据应用负载进行弹性扩展服务。后端服务器的数量可以随时增加或减少,并根据业务需要扩大应用程序的服务能力。
安全能力in/out双向流量信息可提供精细化、域名级、session应用级别DDoS防护。
深入开发4层和7层的安全功能,配合上下游,各取所长,配合大流量清洗集群,达到极致保护。
4.实时数据分析系统
(1)流量分析
首先是数据源,数据源机制有很多种,比较熟悉使用NetFlow采样分析攻击检测也可以通过1:1分光分流获得所有流量统计检测。显然,1:1分光需要更高的资源和更高效的数据分析系统,需要研发能力和技术支持,也会取得更好的效果。
(2)应用识别
拿到原始报文和数据后,需要做的就是区分应用。应用程序的区别可以是IP等级,可以IP 端口级别,也可以是域名级别等。不同业务的防御方法不同,需要根据业务特点制定专业的防御方案。
(3)攻击分析
目前DDoS攻击分析摆脱了以往的统计分析算法,引入了行为识别和机器学习的理论和实践,帮助我们更好地保护攻击。我们还应该注意如何有效地将这些算法实时应用于用户的防御对抗。
综上来看,DDoS木桶短板原理存在攻击防护,任何攻击防护点的效果都会影响整体防御效果DDoS高防IP应该具备弹性带宽、高冗余、高可用、访问质量优、业务接入简单的特点。同时通过DDoS防护能力的OPENAPI开放用户自动化运维系统,实现安全与业务相结合,更好地帮助业务发展。
微云网络DDoS高防ip
微云网络为游戏、金融、网站等用户遭受大流量DDoS如果攻击后服务不可用,就推出DDoS高防ip付费增值服务,用户可以配置高防IP,将ddos将攻击流引流到高防IP,确保源站稳定可靠!详细询问在线客服!
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/fwqjs/12244.html
TAG标签: