您当前的位置:首页 > 电脑百科 > 安全防护 > DDOS

利用先进的反DDoS系统防御TB级流量攻击

时间:2019-08-02 09:32:05  来源:  作者:

DDoS预防简史

分布式拒绝服务(DDoS)使用大量有效请求来消耗网络资源,并使服务无响应并且对合法用户不可用。目前,DDoS攻击是最有力的网络攻击防御之一。

DDoS已经在网络安全领域长期存在,并且是一种古老的攻击方法。DDoS预防也经历了不同的阶段。

内核优化

在早期,没有专业的流量清理服务可用于防范DDoS攻击。当时,互联网带宽也相对较小,大多数人使用56K调制解调器获得拨号上网。攻击者只能利用一小部分带宽。通常,防御者可以通过优化内核参数和iptables来防止DDoS攻击。

利用先进的反DDoS系统防御TB级流量攻击

 

在此阶段,linux内置的功能可防御DDoS攻击。例如,对于SYN泛洪攻击,调整net.ipv4.tcp_max_syn_backlog参数,控制syn队列的上限以避免完全连接,并调整net.ipv4.tcp_tw_recycle和net.ipv4.tcp_fin_timeout以使TCP保留数量TIME-WAIT和FIN-WAIT-2中的连接。对于ICMP泛洪攻击,Iptables被调整为关闭或限制ping数据包的速率或过滤不符合RFC协议的格式错误的数据包。但是,这种保护方法只优化了一台服务器。随着资源攻击强度的增加,这种保护方法无法有效抵御DDoS攻击。

专业的Anti-DDoS硬件防火墙

专业的防DDoS硬件防火墙可以优化功耗,转发芯片,操作系统等。这些防火墙可以满足DDoS流​​量清洗的需求。通常,IDC服务提供商购买反DDoS硬件防火墙并在数据中心的入口处部署它们,以便为整个数据中心提供清理服务。这些清理服务的性能逐渐从最初的每台100 MB发展到1 Gbit / s,10 Gbit / s,20 Gbit / s,100 Gbit / s或更高。这些清理服务涵盖从第3层到第7层的各种攻击,例如SYN-FLOOD,UDP-FLOOD,ICMP-FLOOD,ACK-FLOOD,TCP连接泛洪,CC攻击,DNS-FLOOD和反射攻击。

但是,这种DDoS预防方法对于IDC服务提供商来说非常昂贵。每个数据中心的入口都需要擦洗设备,需要特殊的维护人员来维护设备和服务。此外,并非所有IDC都具有相同的擦洗和保护功能。一些小型数据中心的上行链路可能只有20 GB带宽,无法重复使用这些擦除设备。

云时代具有安全IP地址的高级Anti-DDoS系统

在云时代,服务部署在各种云或传统的IDC中。提供的DDoS清理服务没有一致的标准。在超大量DDoS攻击流量的情况下,托管服务的数据中心无法提供匹配的保护功能。为了保护服务免受影响,我们必须创建“黑洞”概念。采用黑洞机制后,当服务器的攻击流量大于IDC中的黑洞触发阈值时,IDC将阻止该服务器的Internet访问,以避免持续攻击并确保IDC的整体稳定性。

在这种情况下,具有安全IP地址的高级防DDoS系统通过为数据中心提供高带宽,将流量转换为这些IP地址,然后将清理后的流量转发到用户的源站,提供了一整套防DDoS解决方案。此保护方法支持重用数据中心资源,并允许数据中心更多地关注其预期角色。此外,这种保护方法通过以基于SaaS的方式提供DDoS清理服务来简化DDoS预防。

云时代具有安全IP地址的高级反DDoS系统可以满足高带宽的需求。它还允许用户隐藏其源站并灵活地更改清理服务提供商。

具有安全IP地址的高级Anti-DDoS系统的关键组件

带宽和网络

带宽和网络是实现DDoS保护的首要要求。为了有效防御DDoS攻击,我们需要做的第一件事就是建立一个高带宽的数据中心。目前,中国的主流数据中心是单线数据中心,只有一家网络提供商(中国电信,中国联通或中国移动)和多线BGP数据中心,这些中心拥有多个网络提供商。

多线与单线数据中心

特点:

  • 带宽和成本:单线数据中心的成本适中,但需要相对较高的带宽(TB级别)才能防止DDoS攻击。多线BGP数据中心的初始成本可能更高,但它只需要相对较低的带宽来防止DDoS攻击。
  • 访问质量:单线数据具有平均访问质量,因为它受运营商之间的跨网络性能影响。多线路提供最佳的BGP网络。
  • 业务复杂性:用户需要多个IP地址来实现多线路接入 - 例如,分别是中国电信,中国联通和中国移动IP,导致业务复杂性高。实现多线连接只需要一个IP地址,业务复杂性相对较低。
  • 灾难恢复:单线灾难恢复不充分,效率低下。如果数据中心遇到网络故障,则灾难恢复仅支持在业务层中进行切换。BGP具有冗余备份和环路消除功能。当IDC供应商具有多个BGP互连线路时,供应商可以以备份模式部署路由。如果一条线路出现故障,路由将自动切换到另一条线路。

另一个方面是最大带宽。目前,300 Gbit / s只是一种基本的保护功能。保护级别高达一个Tbit / s或无限保护解决方案成为越来越多用户的选择。

多线路BGP数据中心的TB级保护能力也成为未来的发展目标。阿里云致力于为客户提供卓越的访问质量和保护能力的Anti-DDoS Pro。

大型交通清洗集群

这是另一项关键技术。DDoS清理的核心部分是拦截攻击流量。以下是一般攻击类型和对策:

攻击预防

当有足够的带宽时,我们需要考虑如何清除DDoS攻击流量。通常,专业的DDoS擦洗设备采用以下典型的保护和防范方法:丢弃畸形报文和特定协议,验证源反射攻击,统计速率限制行为识别。攻击通常包括SYN-FLOOD,UDP-FLOOD,ICMP-FLOOD,ACK-FLOOD,TCP连接泛洪,CC攻击,DNS-FLOOD和反射攻击。

  • 丢弃格式错误的数据包和特定协议非常简单。指定的方法可用于防止反射攻击和不遵循RFC协议的消息。
  • 源反射验证是防御SYN泛洪攻击的对策。通常,使用反向验证。擦除设备通过在TCP三次握手中回答SYN-ACK消息期间使用特殊算法生成的序列号来代表服务器验证访问源的真实性。该算法考虑了许多因素,例如双方的IP地址和端口,并验证ACK消息。如果访问是真实且合法的,则允许连接流量。同样,为了抵御复杂的CC攻击,可以使用图片验证码来验证看似潜在的攻击者是否是真实合法的客户。
  • 统计速率限制和行为识别基于黑名单,白名单,用户访问率和行为来启用速率控制。

集群架构

从目前的DDoS预防趋势来看,DDoS预防解决方案需要弹性扩展以更好地抵御攻击。在这里我们需要提到100 GB接口的流行度。通常,用于流量负载平衡的散列基于五元组的特征。如果针对攻击流量的五元组的哈希值不均匀,则更有可能发生拥塞。根本不会将流量发送到清理引擎。这也是大型集群清洁系统的重要组成部分。

预防性防御计划

规划防御DDoS攻击的对策也非常重要。高效的规划需要多年的DDoS预防经验。在新攻击和紧急事件的情况下,快速分析和决策在解决问题方面发挥着关键作用。

负载平衡设备和安全组件

负载平衡是高级代理保护的关键技术。负载平衡包括第四层和第七层。

第四层负载平衡为每个客户的业务提供独有的IP地址。第四层服务器负载平衡本身需要高性能和高可用性转发功能以及安全保护功能,以抵御连接攻击。

第七层负载平衡目标是网站服务的代理保护。支持HTTP / HTTPS和防御CC攻击的功能已集成到第七层负载均衡系统中。

  • 专用IP地址:专用IP地址的一个优点是,如果一个IP地址受到DDoS攻击,其他服务将不会因资源隔离而受到影响。
  • 高可用性和高可扩展性:您可以根据应用程序负载扩展服务,而不会中断服务连续性。您可以根据需要增加或减少后端服务器的数量,以扩展应用程序的服务功能。
  • 安全功能:您可以查看有关传入和传出流量的信息,并在域,会话或应用程序级别实施精确的DDoS保护。

为了实现最终的DDoS保护,有必要将第四层和第七层的深入安全能力开发与大流量清理集群相结合。

实时数据分析系统

流量分析

首先,让我们看一下数据源。目前有许多数据源机制可用。一种众所周知的NetFlow机制,用于样本分析和攻击检测。一对一流量分割也可用于获取统计和检测的所有流量。显然,后一种方法需要更多的资源和更有效的数据分析系统。需要更多开发和技术支持的系统通常可以提高分析效率。

应用识别

获取原始消息和数据后,我们需要区分应用程序。可以在IP级别,IP +端口级别,域名级别或其他级别进行应用程序区分。不同的服务需要不同的预防方法 我们需要根据特定服务的特征定制专门的预防计划。

攻击分析

当前的DDoS攻击分析不再依赖于基于统计的分析算法。针对攻击分析,引入了行为识别和机器学习的理论和实践。这些算法可以帮助我们更好地抵御DDoS攻击。我们还应该考虑如何在用户的攻击保护工作中有效地应用这些算法。

结论

前面的内容反映了DDoS攻击保护的木桶理论。攻击预防的每个方面都将影响整体保护,有效性和效率。具有安全IP地址的未来高级反DDoS系统应具有弹性带宽,高冗余,高可用性,高访问质量和简单的业务集成。同时,基于OPENAPI的DDoS保护与用户自动维护系统的结合可以为业务带来更高的安全性并促进业务增长。



Tags:DDoS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言传统的 DDOS 防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用 DNS 切换故障 IP 的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以...【详细内容】
2021-12-21  Tags: DDoS  点击:(19)  评论:(0)  加入收藏
DDOS简介DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务器拒绝正常流量服务。就如酒店里...【详细内容】
2021-08-20  Tags: DDoS  点击:(69)  评论:(0)  加入收藏
工具https://github.com/poornigga/tfn2k.githttps://github.com/cxueqin/falcon.git //tfn2k web版本https://github.com/GinjaChris/pentmenu.githttps://github.com/Of...【详细内容】
2021-08-04  Tags: DDoS  点击:(69)  评论:(0)  加入收藏
摘要: 发送大量的数据包消耗目标主机资源,使其无法正常工作。1.前言:DOS攻击原理:发送大量的数据包消耗目标主机资源,使其无法正常工作。DNS放大攻击的原理:伪造DNS数据包,向DNS服...【详细内容】
2021-04-15  Tags: DDoS  点击:(219)  评论:(0)  加入收藏
随着如今DDoS攻击技术的不断成熟,关于防DDoS攻击的安全防护措施你知道多少?只有清楚的了解DDoS攻击的定义和原理和你有可能或者将会面临什么样的攻击,才更好的不断加强防护,才能...【详细内容】
2021-01-22  Tags: DDoS  点击:(201)  评论:(0)  加入收藏
上网的时候,我们总能或多或少地听到一些新闻,某某网站又遭遇DDoS攻击了,十几二十个小时,网站都没办法打开。似乎每一次DDoS的出现,都有大新闻。...【详细内容】
2021-01-19  Tags: DDoS  点击:(141)  评论:(0)  加入收藏
DDoS攻击的危害:DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DDoS攻击一般是采用一对一方...【详细内容】
2020-09-23  Tags: DDoS  点击:(160)  评论:(0)  加入收藏
.DDos概念  分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于...【详细内容】
2020-09-03  Tags: DDoS  点击:(131)  评论:(0)  加入收藏
如果您对DDoS攻击有所了解,您很可能已经注意到DDoS攻击会如何危害您的网站。DDoS攻击通过拖延业务和使网站脱机而对全球的企业和网站造成严重破坏。根据NSFOCUS发布的报告显...【详细内容】
2020-08-24  Tags: DDoS  点击:(120)  评论:(0)  加入收藏
DDOS是最常见的网络攻击方式,具有极强的破坏性和危害性,很多人对ddos攻击的感知主要来自于一些关于网络安全的新闻报道,下面是DDoS攻击的五个误区。知道DDOS的攻击,才能更好的防...【详细内容】
2020-08-24  Tags: DDoS  点击:(146)  评论:(0)  加入收藏
▌简易百科推荐
前言传统的 DDOS 防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用 DNS 切换故障 IP 的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以...【详细内容】
2021-12-21  网盾科技    Tags:DDOS   点击:(19)  评论:(0)  加入收藏
DDOS简介DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务器拒绝正常流量服务。就如酒店里...【详细内容】
2021-08-20  KaliMa    Tags:DDOS攻击   点击:(69)  评论:(0)  加入收藏
工具https://github.com/poornigga/tfn2k.githttps://github.com/cxueqin/falcon.git //tfn2k web版本https://github.com/GinjaChris/pentmenu.githttps://github.com/Of...【详细内容】
2021-08-04  安全客小安    Tags:DDoS   点击:(69)  评论:(0)  加入收藏
死亡之 Ping 攻击是一种拒绝服务 (DoS) 攻击,攻击者旨在通过发送大于最大允许大小的数据包来破坏目标计算机,从而导致目标计算机冻结或崩溃。原始的死亡之 Ping 攻击如今并不...【详细内容】
2021-04-15  埃文  今日头条  Tags:Ping 攻击   点击:(183)  评论:(0)  加入收藏
摘要: 发送大量的数据包消耗目标主机资源,使其无法正常工作。1.前言:DOS攻击原理:发送大量的数据包消耗目标主机资源,使其无法正常工作。DNS放大攻击的原理:伪造DNS数据包,向DNS服...【详细内容】
2021-04-15  安界  今日头条  Tags:DDoS   点击:(219)  评论:(0)  加入收藏
国内外有很多网站会遇到CC攻击这种说简单也简单说不简单也不简单的攻击类型,CC攻击很不利于一个网站服务器的运行,因此很多技术人员针对这种攻击手段来研发应对手段。不过,目前...【详细内容】
2021-03-19      Tags:CC攻击   点击:(157)  评论:(0)  加入收藏
根据Google最新公布的“Chrome中的HTTPS加密情况”统计数据表明,2015年至2020年通过HTTPS加载的业务占比逐步升高,截至2020年7月,在Chrome上加密的比例已达到96%,越来越多Web业...【详细内容】
2021-01-22      Tags:恶意流量   点击:(159)  评论:(0)  加入收藏
随着如今DDoS攻击技术的不断成熟,关于防DDoS攻击的安全防护措施你知道多少?只有清楚的了解DDoS攻击的定义和原理和你有可能或者将会面临什么样的攻击,才更好的不断加强防护,才能...【详细内容】
2021-01-22      Tags:DDoS攻击   点击:(201)  评论:(0)  加入收藏
上网的时候,我们总能或多或少地听到一些新闻,某某网站又遭遇DDoS攻击了,十几二十个小时,网站都没办法打开。似乎每一次DDoS的出现,都有大新闻。...【详细内容】
2021-01-19      Tags:DDoS攻击   点击:(141)  评论:(0)  加入收藏
当我在 Heroku 管理安全团队时,我经常做一个噩梦:我的 PagerDuty 警报响了,提醒我发生了安全事故。在梦中,我盯着手机并意识到“不,大事不好”——接着,我就被惊醒了。...【详细内容】
2020-12-07      Tags:DoS攻击   点击:(143)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条