DDoS已经在 *** 安全领域长期存在,并且是一种古老的攻击 *** 。DDoS预防也经历了不同的阶段。
在早期,没有专业的流量清理服务可用于防范DDoS攻击。当时,互联网带宽也相对较小,大多数人使用56K调制解调器获得拨号上网。攻击者只能利用一小部分带宽。通常,防御者可以通过优化内核参数和iptables来防止DDoS攻击。
在此阶段,Linux内置的功能可防御DDoS攻击。例如,对于SYN泛洪攻击,调整net.ipv4.tcp_max_syn_backlog参数,控制syn队列的上限以避免完全连接,并调整net.ipv4.tcp_tw_recycle和net.ipv4.tcp_fin_timeout以使TCP保留数量TIME-WAIT和FIN-WAIT-2中的连接。对于ICMP泛洪攻击,Iptables被调整为关闭或限制ping数据包的速率或过滤不符合RFC协议的格式错误的数据包。但是,这种保护 *** 只优化了一台服务器。随着资源攻击强度的增加,这种保护 *** 无法有效抵御DDoS攻击。
专业的防DDoS硬件防火墙可以优化功耗,转发芯片,操作系统等。这些防火墙可以满足DDoS流量清洗的需求。通常,IDC服务提供商购买反DDoS硬件防火墙并在数据中心的入口处部署它们,以便为整个数据中心提供清理服务。这些清理服务的性能逐渐从最初的每台100 MB发展到1 Gbit / s,10 Gbit / s,20 Gbit / s,100 Gbit / s或更高。这些清理服务涵盖从第3层到第7层的各种攻击,例如SYN-FLOOD,UDP-FLOOD,ICMP-FLOOD,ACK-FLOOD,TCP连接泛洪,CC攻击,DNS-FLOOD和反射攻击。
但是,这种DDoS预防 *** 对于IDC服务提供商来说非常昂贵。每个数据中心的入口都需要擦洗设备,需要特殊的维护人员来维护设备和服务。此外,并非所有IDC都具有相同的擦洗和保护功能。一些小型数据中心的上行链路可能只有20 GB带宽,无法重复使用这些擦除设备。
在云时代,服务部署在各种云或传统的IDC中。提供的DDoS清理服务没有一致的标准。在超大量DDoS攻击流量的情况下,托管服务的数据中心无法提供匹配的保护功能。为了保护服务免受影响,我们必须创建“黑洞”概念。采用黑洞机制后,当服务器的攻击流量大于IDC中的黑洞触发阈值时,IDC将阻止该服务器的Internet访问,以避免持续攻击并确保IDC的整体稳定性。
在这种情况下,具有安全IP地址的高级防DDoS系统通过为数据中心提供高带宽,将流量转换为这些IP地址,然后将清理后的流量转发到用户的源站,提供了一整套防DDoS解决方案。此保护 *** 支持重用数据中心资源,并允许数据中心更多地关注其预期角色。此外,这种保护 *** 通过以基于SaaS的方式提供DDoS清理服务来简化DDoS预防。
云时代具有安全IP地址的高级反DDoS系统可以满足高带宽的需求。它还允许用户隐藏其源站并灵活地更改清理服务提供商。
具有安全IP地址的高级Anti-DDoS系统的关键组件
带宽和 *** 是实现DDoS保护的首要要求。为了有效防御DDoS攻击,我们需要做的之一件事就是建立一个高带宽的数据中心。目前,中国的主流数据中心是单线数据中心,只有一家 *** 提供商(中国电信,中国联通或中国移动)和多线BGP数据中心,这些中心拥有多个 *** 提供商。
多线与单线数据中心
特点:
另一个方面是更大带宽。目前,300 Gbit / s只是一种基本的保护功能。保护级别高达一个Tbit / s或无限保护解决方案成为越来越多用户的选择。
多线路BGP数据中心的TB级保护能力也成为未来的发展目标。阿里云致力于为客户提供卓越的访问质量和保护能力的Anti-DDoS Pro。
大型交通清洗集群
这是另一项关键技术。DDoS清理的核心部分是拦截攻击流量。以下是一般攻击类型和对策:
当有足够的带宽时,我们需要考虑如何清除DDoS攻击流量。通常,专业的DDoS擦洗设备采用以下典型的保护和防范 *** :丢弃畸形报文和特定协议,验证源反射攻击,统计速率限制行为识别。攻击通常包括SYN-FLOOD,UDP-FLOOD,ICMP-FLOOD,ACK-FLOOD,TCP连接泛洪,CC攻击,DNS-FLOOD和反射攻击。
从目前的DDoS预防趋势来看,DDoS预防解决方案需要弹性扩展以更好地抵御攻击。在这里我们需要提到100 GB接口的流行度。通常,用于流量负载平衡的散列基于五元组的特征。如果针对攻击流量的五元组的哈希值不均匀,则更有可能发生拥塞。根本不会将流量发送到清理引擎。这也是大型集群清洁系统的重要组成部分。
规划防御DDoS攻击的对策也非常重要。高效的规划需要多年的DDoS预防经验。在新攻击和紧急事件的情况下,快速分析和决策在解决问题方面发挥着关键作用。
负载平衡设备和安全组件
负载平衡是高级 *** 保护的关键技术。负载平衡包括第四层和第七层。
第四层负载平衡为每个客户的业务提供独有的IP地址。第四层服务器负载平衡本身需要高性能和高可用性转发功能以及安全保护功能,以抵御连接攻击。
第七层负载平衡目标是网站服务的 *** 保护。支持HTTP / HTTPS和防御CC攻击的功能已集成到第七层负载均衡系统中。
为了实现最终的DDoS保护,有必要将第四层和第七层的深入安全能力开发与大流量清理集群相结合。
流量分析
首先,让我们看一下数据源。目前有许多数据源机制可用。一种众所周知的NetFlow机制,用于样本分析和攻击检测。一对一流量分割也可用于获取统计和检测的所有流量。显然,后一种 *** 需要更多的资源和更有效的数据分析系统。需要更多开发和技术支持的系统通常可以提高分析效率。
应用识别
获取原始消息和数据后,我们需要区分应用程序。可以在IP级别,IP +端口级别,域名级别或其他级别进行应用程序区分。不同的服务需要不同的预防 *** 我们需要根据特定服务的特征定制专门的预防计划。
攻击分析
当前的DDoS攻击分析不再依赖于基于统计的分析算法。针对攻击分析,引入了行为识别和机器学习的理论和实践。这些算法可以帮助我们更好地抵御DDoS攻击。我们还应该考虑如何在用户的攻击保护工作中有效地应用这些算法。
前面的内容反映了DDoS攻击保护的木桶理论。攻击预防的每个方面都将影响整体保护,有效性和效率。具有安全IP地址的未来高级反DDoS系统应具有弹性带宽,高冗余,高可用性,高访问质量和简单的业务集成。同时,基于OPENAPI的DDoS保护与用户自动维护系统的结合可以为业务带来更高的安全性并促进业务增长。
智安网络 2018-10-24 11:04:12...
企业的运维团队需要掌握基本的web安全知识,防患于未然,本篇文章提供多种网站安全防护场景,以及对应的防御解决方案。 网站安全 网站面临的安全风险和挑战 1.网站攻击&网站漏洞 针对...
针对英特尔CPU的网络攻击并不新鲜。 然而利用电压发起攻击的黑客就很少见了。 黑客攻击英特尔CPU 近期研究人员发现一种全新攻击,黑客可以通过改变来电压来悄悄从处理器中盗窃敏感信...
随着网络技术和网络应用的发展,网络安全问题显得越来越重要,已经被提到一个很高高的高度。DDOS攻击随着互联网的快速发展,也日益猖獗,从原来的的几兆、几十兆,到现在的几十G、几十T的流量攻击,形成了一个...
楼主此时说这些,给人感觉装逼令人反感,试问很多的正义之声被封杀,你的公正在哪里?智安网络讯:据外媒 15 日报道,网络安全解决方案提供商 Imperva 披露攻击者正在利用 UPnP 协议掩盖 DDo...
ddos攻击安全防御的原理是什么?应该怎么防御,DDoS攻打的道理是甚么?跟着网页期间的到来,网页平安变得越来越紧张。在互联网平安领域,DDoS(Distributed Denial Lofser...