成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

T級攻擊態勢下解析DDOS高防IP系統架構

安全 黑客攻防
DDoS主要通過大量合法的請求占用大量網絡資源,從而使合法用戶無法得到服務的響應,是目前最強大、最難防御的網絡攻擊之一。

DDoS防御發展史

DDoS(Distributed Denial of Service,分布式拒絕服務)主要通過大量合法的請求占用大量網絡資源,從而使合法用戶無法得到服務的響應,是目前最強大、最難防御的網絡攻擊之一。

DDoS防御

DDoS作為一種古老的攻擊方式,其防御方式也經歷了多個發展階段:

1. 內核優化時代

在早期時代,沒有專業的防護清洗設備來進行DDoS防御,當時互聯網的帶寬也比較小,很多人都是在用56K的modem撥號上網,攻擊者可以利用的帶寬也相對比較小,對于防御者來說,一般通過內核參數優化、iptables就能基本解決攻擊,有內核開發能力的人還可以通過寫內核防護模塊來提升防護能力。

在這個時期,利用Linux本身提供的功能就可以基本防御DDoS攻擊。比如針對SYN FLOOD攻擊,調整net.ipv4.tcp_max_syn_backlog參數控制半連接隊列上限,避免連接被打滿,調整net.ipv4.tcp_tw_recycle,net.ipv4.tcp_fin_timeout來控制tcp狀態保持在TIME-WAIT,FIN-WAIT-2的連接個數;針對ICMP FLOOD攻擊,控制IPTABLES來關閉和限制ping報文的速率,也可以過濾掉不符合RFC協議規范的畸形報文。但是這種方式只是在優化單臺服務器,隨著攻擊資源和力度的逐漸增強,這種防護方式就顯得力不從心了。

2. 專業anti-DDoS硬件防火墻

專業anti-DDoS硬件防火墻對功耗、轉發芯片、操作系統等各個部分都進行了優化,用來滿足DDoS流量清洗的訴求。 一般IDC服務提供商會購買anti-DDoS硬件防火墻,部署在機房入口處為整個機房提供清洗服務,這些清洗盒子的性能從單臺百兆的性能,逐步發展到1Gbps、10Gbps、20Gbps、100Gbps或者更高,所提供的清洗功能也基本涵蓋了3-7層的各種攻擊(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等)。

這種方式對IDC服務商來講有相當高的成本,每個機房入口都需要有清洗設備覆蓋,要有專業的運維人員來維護,而且并不是每個IDC機房都可以有同等的清洗防護能力,有的小機房上聯可能只有20G帶寬,且不具備復用這些清洗設備的能力。

3. 云時代的DDoS高防IP防護方案

在云時代,服務部署在各種云上,或者傳統的IDC機房里面,他們提供的DDoS基礎清洗服務標準并不一致,在遭受到超大流量DDoS攻擊情況下,托管所在的機房并不能提供對應的防護能力,不得已,為了保護他們的服務不受影響,就會有“黑洞”的概念產生。黑洞是指服務器受攻擊流量超過IDC機房黑洞閾值時,IDC機房會屏蔽服務器的外網訪問,避免攻擊持續,影響整體機房的穩定性。

在這種情況下,DDoS高防IP是通過建立各種大帶寬的機房,提供整套的DDoS解決方案,將流量轉到DDoS高防IP上進行防護,然后再把清洗后的干凈流量轉發回用戶真正的源站。這種方式會復用機房資源,專業機房做專業的事情。簡化DDoS防護的復雜度,以SaaS化的方式提供DDoS清洗服務。

硬件防火墻

硬件防火墻

[[248693]]

大規模集群服務器

由此可以看出,云時代的DDoS高防IP不僅可以滿足對大寬帶的剛性需求,而且對用戶來說具有隱藏源站、可以靈活更換清洗服務商的優勢。

DDoS高防IP系統關鍵組成

1. 帶寬&網絡

帶寬&網絡是DDoS防護的第一訴求,首先要做的就是擁有一個高帶寬的機房。目前國內主流機房主要為電信單線機房、聯通單線機房、移動單線機房和BGP多線機房。

單線機房和BGP多線機房的特點以及差別是什么呢?

單線機房和BGP多線機房的特點以及差別

另外一個維度就是帶寬上限,目前對于國內DDoS高防IP來說,300Gbps的防護能力都是入門級別的,1Tbps的防護能力乃至無限抗的解決方案越來越多的出現用戶的選擇中。

2. 大流量清洗集群

這是另外一個關鍵技術。DDoS清洗的核心部分是將攻擊流量攔截下來。一般攻擊種類和對抗體系有以下幾種:

(1) 攻擊防護:在帶寬資源足夠的條件下,如何對DDoS攻擊流量清洗是下一步需要考慮的,一般來說,專業的DDoS清洗防護設備的主要防護方法包括幾類:畸形包、特定協議丟棄;源反彈認證體系;統計限速&行為識別。攻擊類型一般有SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等等。

畸形包、特定協議丟棄很簡單,即對于不符合RFC協議規范的報文、反射類攻擊都可以用指定特征的方式進行防護。

源反彈認證是針對syn flood的防護方法,一般采用反向驗證的防護方法,如syn cookie,即清洗設備替服務端校驗訪問源的真實性,方法是在TCP三次握手中,在回復synack報文的時候,使用一種特殊的算法生成Sequence Number,這種算法考慮到了對方的IP、端口、己方IP、端口的固定信息等多種信息,并在ack報文的時候確認。如果是真實訪問者,放行流量。同理,復雜的CC攻擊可以用反彈一個圖片驗證碼的方式校驗攻擊者是否為真實客戶。

統計限速&行為識別這里就會綜合各種黑白名單,用戶訪問速率、行為,進行一個速率控制的防護。

(2) 集群架構:在目前的DDoS防護趨勢下,防護必須有彈性擴容的能力,才可以跟進攻防對抗的趨勢。另外這里還會提到100G口的普及。一般來說流量的負載均衡是根據五元組里面的特征進行負載均衡hash的,如果單口的帶寬比較小(10G or 40G),那么一旦攻擊流量的五元組的hash不均勻,他們有更大的幾率會擁塞,流量根本就不會送到清洗設備引擎上去。這個也是大集群清洗體系比較重要的一點。

(3) 運營體系:DDoS對抗運營也是非常關鍵的一環,需要多年實時對抗的經驗積累,在面對一些新型攻擊及突發情況時,快速的分析和決策是解決問題的一個關鍵部分。

3. 負載均衡設備&安全組件

負載均衡技術是代理高防的關鍵技術,這里面包括4層負載均衡和7層負載均衡。

4層負載均衡技術,為每一個客戶業務提供一個獨享的IP,本身的轉發能力要高性能、高可用性,同時還要具備安全防護能力,能夠對抗連接型攻擊。

7層負載均衡技術,針對網站類業務的代理和防護,對HTTP/HTTPS協議的支持,各種CC攻擊的防護,都會集成在7層負載均衡的系統里面。

  • 獨享IP。優點就是一個業務IP被DDoS攻擊,不會影響其他的業務,資源隔離。
  • 高可用,可擴展。根據應用負載進行彈性擴容,在流量波動情況下不中斷對外服務。可以根據業務的需要,隨時增加或減少后端服務器的數量,擴展應用的服務能力。
  • 安全能力。具備in/out雙向流量信息,可以提供精細化、域名級別、session級別的應用級別DDoS防護。

對4層和7層進行深度開發安全功能,上下游配合,各取所長,配合大流量清洗集群才能將防護做到極致。

4. 數據實時分析系統

(1) 流量分析

首先是數據源,數據源機制有很多種,比較熟知的是利用NetFlow進行采樣分析攻擊檢測,也可以通過1:1分光分流的方式獲取全部流量統計檢測,很明顯1:1分光的方式需要更高的資源和更高效的數據分析系統,需要研發能力和技術支撐的,也會取得更佳的效果。

(2) 應用識別

拿到原始報文和數據后,需要做的就是區分應用了。應用的區分可以是IP級別,可以是IP+端口級別,也可以是域名級別等。不同業務的防御方法是有差別的,需要做到根據業務特性來制定專業的防御方案。

(3) 攻擊分析

目前DDoS的攻擊分析已經擺脫了以前基于統計的分析算法,引入了行為識別、機器學習的理論和實踐,而這些算法都幫助我們能更好對攻擊進行防護,我們還應該關注如何將這些算法有效的實時應用到用戶的防御對抗中。

綜上來看,DDoS攻擊防護存在木桶短板原理,任何一個攻擊防護點的效果都會影響到整體的防御效果。未來的DDoS高防IP應該具備彈性帶寬、高冗余、高可用、訪問質量優、業務接入簡單的特點。同時通過DDoS防護能力的OPENAPI化,和用戶自動化運維體系的打通,實現安全和業務結合,以更好的助力業務發展。

責任編輯:趙寧寧 來源: FreeBuf
相關推薦

2016-11-23 09:15:13

2018-11-02 12:37:53

DDos攻擊信息安全攻擊

2017-05-03 13:03:15

互聯網

2015-01-27 13:10:44

2022-07-28 19:25:38

DDoS攻擊網絡安全網絡攻擊

2014-06-06 17:41:38

2020-11-27 10:54:17

TB級青云DDoS

2010-07-07 09:38:27

2015-09-22 09:43:31

2014-04-10 11:13:22

2016-07-07 15:50:42

2012-03-14 11:08:00

2013-08-22 09:10:47

2010-11-23 11:25:49

2014-01-13 09:30:20

2010-10-08 09:25:55

2011-07-30 12:49:51

2013-10-23 10:20:55

2011-07-04 12:18:07

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 91在线精品一区二区 | 中文字幕精品一区二区三区精品 | 日韩中出 | 欧美性久久| 免费观看一级特黄欧美大片 | 久久久久一区 | 欧美日韩一区二区电影 | 欧美国产视频 | 亚洲国产成人精品女人久久久 | 欧美自拍网站 | 特级特黄特色的免费大片 | 久久亚| 久久精品黄色 | 91精品国产乱码久久久久久久久 | 久久综合影院 | 欧美福利影院 | 欧美亚洲日本 | 午夜一区二区三区在线观看 | 在线亚洲人成电影网站色www | 亚洲精品成人网 | 国产在线精品一区二区三区 | 精品综合在线 | 欧美激情一区二区三区 | 亚洲一区二区三区高清 | 国产成人在线视频 | 欧洲成人免费视频 | 久久国产精品一区 | 亚洲网在线 | 亚洲色在线视频 | 国产精品久久久久久久久久了 | 国产农村一级国产农村 | 中文字幕av第一页 | 91久久精品一区 | 综合九九 | 精品国产乱码久久久久久88av | 最新黄色在线观看 | 国产日产久久高清欧美一区 | 国产精品美女久久久av超清 | 成人高清在线 | 午夜成人免费视频 | 国产精品综合网 |