死扛无限防御-DDoS/CC流量清洗

版权声明：本文为搜狐号博主「迷途斑鸠」的原创文章，遵循版权协议，转载请附上原文出处链接及本声明。
原文链接：https://www.sohu.com/a/360656262_100184097

在高防服务器租用中，“宽带流量清洗解决方案”的实施，减轻了来自于DDoS攻击流量对城域网造成的压力，提升带宽利用的有效性;保护企业网络免受来自互联网的攻击，提高网络性能，实现其核心业务的永续，保障其核心竞争力。

高防服务器宽带流量清洗解决方案提供的服务包括：网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。

宽带流量清洗解决方案主要分为三个步骤。

第一步，利用专用的检测设备对用户业务流量进行分析监控。

第二步，当用户遭受到DDoS攻击时，检测设备上报给专用的业务管理平台生成清洗任务，将用户流量牵引到流量清洗中心。

第三步，流量清洗中心对牵引过来的用户流量进行清洗，并将清洗后的用户合法流量回注到城域网。同时上报清洗日志到业务管理平台生成报表。其原理图如下：

死扛无限防御-DDoS/CC流量清洗

解决方案涉及的关键技术包括对DDoS攻击的检测防御，对被攻击用户的流量的牵引和清洗后的流量回注。其具体技术请见下面天下数据小编为大家分享的描述。

流量检测防御技术

流量清洗宽带流量清洗解决方案，流量检测和防御功能由旁挂在城域网的专用探测和防御设备实现。

DDoS探测设备通过对城域网用户业务流量进行逐包的分析和统计，完成用户流量模型的自学习，并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后，探测设备向专用的业务管理平台上报攻击事件。

DDoS防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和计算用户行为的单向防御技术，可以实现多层次安全防护，精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量。支持丰富的攻击防御功能，如，SYN Flood，UDP Flood，ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常见攻击的防御。

流量牵引技术

为了在用户的业务遭受DDoS攻击时，将用户的流量动态的牵引到流量清洗中心来进行清洗。流量清洗中心利用IBGP或者EBGP协议，首先和城域网中用户流量路径上的多个核心设备(直连或者非直连均可)建立BGP Peer。攻击发生时，流量清洗中心通过BGP协议会向核心路由器发布BGP更新路由通告，更新核心路由器上的路由表项，将流经所有核心设备上的被攻击服务器的流量动态的牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性，确保清洗中心发布的路由不会被扩散到城域网，同时在流量清洗中心上通过路由策略不接收核心路由器发布的路由更新。从而严格控制对城域网造成的影响。

流量回注技术

流量清洗系统支持丰富的网络协议和多种物理接口来实现将清洗后的流量重新注入到城域网。可以提供策略路由、MPLS VPN、二层透传、双链路等多种方式进行用户流量的回注。

完善策略防护机制
一、安全防护：

1.源头控制（ip）

-封闭式：限定访问的IP（指定服务器才能访问即授权访问）

-开放式：白名单IP允许

-开放式：黑名单IP禁止

-开放式：业务行政物理地址外IP禁止（IP定位），消除代理攻击

-开放式：业务行政物理地址内IP允许（IP定位），消除代理攻击

2.端口控制

-知名端口：常用的知名端口，如80，修改知名端口或关闭不必要知名端口。

-匿名端口：采用不常用的端口号，端口不连号。

3.应用场景控制(手机或PC和其他)

-手机端：只会在手机端使用的接口，不对其他终端响应

-PC端：都可以访问

-特定场景：特定场景使用的接口不暴露，且做场景分析控制，非场景下不允许使用

4.频率控制

-访问间隔：连续访问间隔控制

-周期间隔：周期内访问间隔控制

-周期访问次数：周期访问次数控制

-特定场景访问次数控制：特定场景次数分析

5.请求地址控制

-不存在的地址控制

-恶意攻击地址控制

6.参数控制

-多余的参数：多余的参数分析和记录

-SQL攻击：SQL攻击

-XSS攻击：js脚本攻击和url检测

-参数取值：合理取值范围和类型

7.流程控制

-流程漏洞控制，确保没有流程空白

-多接口混合使用形成的流程漏洞控制

8.缓存控制

-缓存更新漏洞机制

-缓存不同步漏洞控制

9.bug错误控制

-异常控制

-异常暴露

-异常流程控制

-bug对设计的冲击控制

10.系统协作控制

-多端协作流程漏洞控制

11.分布式控制

-数据一致性漏洞

-其他

12.服务器漏洞

-漏洞检测和修复

二、保护措施：

1.拒绝服务：当次停止响应，减少性能消耗

2.拉黑：后续全部停止响应

3.限制降频：降低允许访问的频率

死扛无限防御-DDoS/CC流量清洗相关推荐

app防御ddos/cc攻击
2019年8月客户APP防御DDoS/CC攻击.近年来APP的客户越来越多,被攻击也非常的多.而且相比网站防御APP防御难点很多,小型攻击网站防御可以用CDN进行防御,CDN可以有效隐藏源服务器IP, ...
如何防御DDoS等流量攻击？
好几个月没写博客,一方面是工作忙原因,一方面是内容太浅,没什么实际应用的我也不想写,现在正好最近遭受了大量的UDP攻击,我给大家介绍一下我这里是如何防御DDOS等流量攻击. 先给大家看看我最近遭受攻击 ...
如何防御DDOS等流量攻击
好几个月没写博客,一方面是工作忙原因,一方面是内容太浅,没什么实际应用的我也不想写,现在正好最近遭受了大量的UDP攻击,我给大家介绍一下我这里是如何防御DDOS等流量攻击. 先给大家看看我最近遭受攻击 ...
游戏盾无限防御DDOS和CC攻击
游戏很容易招到黑客攻击,尤其是对于一些比较出名的平台,风险就更高一些.究竟为什么黑客这么喜欢攻击地方性游戏呢? 经过许多被攻击的案例显示,黑客之所以会选择攻击棋牌游戏平台是以下原因: /1.盗卖游戏币 ...
DDOS\CC流量攻击
一. DDOS攻击简单说就是瞬间有大量请求访问接口. 导致网站无法正常访问甚至出现短暂的关闭 DDOS攻击原理简单的ddos攻击: 写个死循环一直调用被攻击方接口, 导致被攻击方请求连接数量或QP ...
servu ip段访问_高防IP是如何防御DDOS/CC攻击的，防御原理是什么？
高防IP是网络安全公司针对解决互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况,推出的付费增值服务.企业可以通过配置DDoS高防IP服务,把域名解析到高防IP(Web业务把域名解析指向高防 ...
如何防御DDoS CC攻击
什么是CC攻击? 一.CC攻击来的IP都是真实的,分散的: 二.CC攻击的数据包都是正常的数据包: 三.CC攻击的请求,全都是有效的请求,无法拒绝的请求. 四. 因为cc攻击的是网页,服务器什么都可以 ...
cncert/cc DDOS 清洗流量清洗 IDC AFC AFD ICP
== cncert/cc国家互联网应急中心国家互联网应急中心(英文:National Internet Emergency Center,缩写CNCERT或CNCERT/CC)全称是国家计算机网络应 ...
【无标题】DDOS CC防御小建议
我们要先搞明白为什会遭遇DDOS的攻击为什么会遭遇DDos攻击? 一般的网站之所以会遇到DDos攻击,也就是一点其实,就是来自于同行的竞争剧烈,一些合法同行采用极端保守的竞争方式,往往会雇佣网络一些 ...

死扛无限防御-DDoS/CC流量清洗

死扛无限防御-DDoS/CC流量清洗相关推荐

最新文章

热门文章