电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 2316 人浏览分享

面对我们头疼的几种DDos攻击,有哪些防护措施?

[复制链接]
2316 0
本帖最后由 zhaorong 于 2019-10-24 14:55 编辑

常规流量型的DDos攻击应急防护方式因其选择的引流技术不同而在实现上有不同的差异性主要分为以下三种方式实现分层清洗的效果。
Dos拒绝服务攻击是通过各种手段消耗网络带宽和系统CPU内存连接数等资源直接造成网络带宽耗尽或系统
资源耗尽使得该目标系统无法为正常用户提供业务服务从而导致拒绝服务。
常规流量型的DDos攻击应急防护方式因其选择的引流技术不同而在实现上有
不同的差异性主要分为以下三种方式实现分层清洗的效果。

f6685f7b0ab75d0f74e8555552063fc5.jpg-wh_651x-s_967633687.jpg

1. 本地DDos防护设备
一般恶意组织发起DDos攻击时率先感知并起作用的一般为本地数据中心内的DDos防护设备金融机构本地防护设备较多采用旁路镜像部署方式。
本地DDos防护设备一般分为DDos检测设备清洗设备和管理中心首先DDos检测设备日常通过流量基线自学习方式按各种和防御有关的维度:
比如syn报文速率http访问速率等进行统计形成流量模型基线从而生成防御阈值。

ea941da0ddf42f663f3c054d481ff722.jpg

学习结束后继续按基线学习的维度做流量统计并将每一秒钟的统计结果和防御阈值进行比较超过则认为有异常通告管理中心。
由管理中心下发引流策略到清洗设备启动引流清洗异常流量清洗通过特征基线回复确认等各种方式对攻击流量进行识别清洗。
经过异常流量清洗之后为防止流量再次引流至DDos清洗设备可通过在出口设备回注接口上使用策略路由强制
回注的流量去往数据中心内部网络访问目标系统。

2. 运营商清洗服务
当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击
时需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。
运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为实践证明
运营商清洗服务在应对流量型DDos攻击时较为有效。

3. 云清洗服务

89b9e3e9d80d12a8955292b83ae1e2d6.jpg

当运营商DDos流量清洗不能实现既定效果的情况下可以考虑紧急启用运营商云清洗服务来进行最后的对决。
依托运营商骨干网分布式部署的异常流量清洗中心实现分布式近源清洗技术在运营商骨干网络上靠近攻击源的地方把流量清洗掉提升攻击对抗能力。
具备适用场景的可以考虑利用CNAME或域名方式将源站解析到安全厂商云端域名实现引流 清洗 回注 提升抗D能力进行这类清洗需要较
大的流量路径改动牵涉面较大一般不建议作为日常常规防御手段。

总结
以上三种防御方式存在共同的缺点由于本地DDos防护设备及运营商均不具备HTTPS加密流量解码能力导致针对HTTPS流量的防护能力有限;
同时由于运营商清洗服务多是基于Flow的方式检测DDos攻击且策略的颗粒度往往较
粗因此针对CC或HTTP慢速等应用层特征的DDos攻击类型检测效果往往不够理想。
对比三种方式的不同适用场景发现单一解决方案不能完成所有DDos攻击清洗因为大多
数真正的DDos攻击都是“混合”攻击(掺杂各种不同的攻击类型)。

比如:以大流量反射做背景期间混入一些CC和连接耗尽以及慢速攻击这时很有可能需要运
营商清洗(针对流量型的攻击)先把80%以上的流量清洗掉把链路带宽清出来;
在剩下的20%里很有可能还有80%是攻击流量(类似CC攻击HTTP慢速攻击等)那么就需要本地配合进一步进行清洗。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.