防御DDoS措施抓住这一要点,让你从此不再为DDoS头疼
就目前防御DDoS的方式来说,主要是两个方面,小流量攻击可以在企业本地进行设备防护,大流量攻击可以交给运营商及云端清洗。这个分界点根据行业及业务特性的不同会有所差异,大概的量级应该在百兆BPS左右。
我们知道DDoS攻击是通过各种手段消耗网络带宽和系统CPU、内存、连接数等资源,直接造成网络带宽耗尽或系统资源耗尽,使得该目标系统无法为正常用户提供业务服务,从而导致拒绝服务。异常流量清洗方式主要有三种:
首先是本地DDoS防护设备。一般恶意组织发起DDoS攻击时,率先感知并起作用的一般为本地数据中心内的DDoS防护设备,一般分为DDoS检测设备、清洗设备和管理中心。DDoS检测设备日常通过流量基线自学习方式,按各种和防御有关的维度进行统计,形成流量模型基线,从而生成防御阈值。学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。由管理中心下发引流策略到清洗设备,启动引流清洗。
异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后,为防止流量再次引流至DDoS清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。
其次是运营商清洗服务。当流量型攻击的攻击流量超出互联网链路带宽或本地DDoS清洗设备性能不足以防御DDoS流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。运营商通过各级DDoS防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDoS攻击行为。实践证明,运营商清洗服务在应对流量型DDoS攻击时较为有效。
最后是云清洗服务。当运营商DDoS流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。具备适用场景的可以考虑利用CNAME或域名方式,将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗D能力。进行这类清洗需要较大的流量路径改动,牵涉面较大,一般不建议作为日常常规防御手段。
以上三种防御方式存在共同的缺点,由于本地防御DDoS设备及运营商均不具备HTTPS加密流量解码能力,导致针对HTTPS流量的防护能力有限;同时由于运营商清洗服务多是基于Flow的方式检测DDoS攻击,且策略的颗粒度往往较粗,因此针对CC或HTTP慢速等应用层特征的DDoS攻击类型检测效果往往不够理想。
目前网络安全界应对大规模攻击最有效的防御DDoS措施就是分布式集群防御。它的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击。如果一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更深层次的安全防护角度去影响企业的安全执行决策。
对比以上四种防御DDoS方式,发现单一解决方案不能完成所有DDoS攻击清洗,因为大多数真正的DDoS攻击都是“混合”攻击(掺杂各种不同的攻击类型),所以DDoS防护也要采取综合的手段来应对这种“混合”攻击。
本文来自:https://www.zhuanqq.com/News/Industry/345.html
防御DDoS措施抓住这一要点,让你从此不再为DDoS头疼相关推荐
- 游戏行业DDoS 6年谈:什么样的架构才可以对DDoS免疫?
在我看来,游戏行业一直是竞争.攻击最复杂的一个"江湖".许多游戏公司在发展业务时,对自身的系统.业务安全,存在诸多盲区:对DDoS攻击究竟是什么,怎么打,也没有真正了解. 我曾看到 ...
- linux查看发起ddos攻击的ip,在Linux上使用netstat命令查证DDOS攻击的方法
导读 DOS攻击或者DDOS攻击是试图让机器或者网络资源不可用的攻击.这种攻击的攻击目标网站或者服务通常是托管在高防服务器比如银行,信用卡支付网管,甚至根域名服务器. 服务器出现缓慢的状况可能由很多事 ...
- ddos流量攻击有多少G_攻击流量超过300G,遭遇DDoS时我们能做些什么?
首发公众号:码农架构 一. DDOS 攻击原理 Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过远程连接恶意程序控制大量僵尸主机(全国范围甚 ...
- 不可不知 DDoS的攻击原理与防御方法(2)
转自: http://tech.sina.com.cn/s/2006-07-17/09501040151.shtml DoS攻击.DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Deni ...
- DOS、DOS攻击、DDOS攻击、DRDOS攻击
DOS:中文名字是拒绝服务,一切引起DOS行为的攻击被称为DOS攻击.该攻击的效果是使得计算机或者网络无法提供正常的服务.常见的DOS攻击有针对计算机网络带宽和连通性的攻击.DOS是单机与单机之间的攻 ...
- DRDoS分布反射式拒绝服务攻击(什么是DRDoS)
什么是DRDoS DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的"肉鸡".它的攻击原理和Smurf攻击原理相 ...
- 关于HAPPY ENDING
韩淼的个性签名写着:从此,王子和公主幸福地生活在一起-- 从小开始我们就在这样的幸福的从此以后中生活着,相信美好,杜绝阴暗.我的小画册和故事书上有很多我的涂鸦,把原本干净的画面弄得面目全非.我不相信永 ...
- Ddos攻击攻击与防御
2019独角兽企业重金招聘Python工程师标准>>> 一 背景 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台 ...
- 反射型 DDoS 攻击的原理和防范措施
随着僵尸网络的兴起,同时由于攻击方法简单.影响较大.难以追查等特点,分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥. 成千上万主机组成 ...
- 如何防御DDoS攻击
以前我家里用的是卡巴的防火墙,经常受到DDOS的攻击,每一次受到攻击之后,机子就不能上网,只有重启之后才可以上,十分郁闷.如果关掉卡巴的提示,就不会出现上不了网的情况.所以现在我的机子都不敢再用卡巴的 ...
最新文章
- GRE写作-学生选择有助于就业的课程or根据兴趣选课?
- 艾弗森、穆大叔遭“姚式幽默”调侃 全场爆笑
- 【转】前端精选文摘:BFC 神奇背后的原理
- 在linux中解压.tgz
- 图片处理--熔铸特效
- Springcloud 引导上下文
- Java虚拟机------JVM分析工具
- 依赖注入例子php,依赖注入小例子
- c#明华rf读卡器_C#调用第三方API接口-案例明华读卡器
- 中国大陆五级行政区划数据爬虫
- TIA博途中通过PN耦合器实现不同网段的PLC进行PROFINET通信的具体方法
- 快来加入木东居士的数据交流群吧~
- More Accurate Question Answering on Freebase阅读笔记
- 针对商品标题冗长问题,阿里工程师怎么解决?
- 织梦dedeCMS留言薄
- excel下拉列表联动_动态数组的Excel下拉列表
- 房屋安全鉴定报告的有效期及两种鉴定类型
- 世界顶级音效公司_世界顶级游戏开发公司
- Chance Gym - 101086L——二进制,素数
- unity——Survival Shooter:环境角色