|
DDoS即分布式拒絕服務(wù)攻擊,這是一場關(guān)乎資源的較量���,攻擊者通過自己控制的大量僵尸主機�����,向目標設(shè)施(服務(wù)器�、運營商網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)等)發(fā)起洪水猛獸般的流量型攻擊���, 或是連綿不絕的應(yīng)用型攻擊�����。 如果將受害者比做一個飯店�,那么流量型攻擊就如同堵住飯店的門口���,導(dǎo)致正?��?蛻魺o法進去用餐。常見的流量型攻擊有UDP Flood�,NTP Flood等。對應(yīng)的應(yīng)用型攻擊就如同一群無賴�,綁架了飯店里的服務(wù)員或廚師,導(dǎo)致正?��?蛻魺o法正常用餐���。常見的應(yīng)用型攻擊有DNS Request Flood, CC Flood等�。 CC攻擊就是應(yīng)用層DDoS攻擊的一種,相比流量型的DDoS攻擊�����,CC攻擊的殺傷力更大,防護難度也更大�����。每個人都有這樣的體驗:當一個網(wǎng)頁訪問的人數(shù)特別多的時候���,打開網(wǎng)頁就慢了�,CC就是模擬多個用戶不停地訪問那些需要大量數(shù)據(jù)操作(如連接數(shù)據(jù)庫)的頁面�����,造成服務(wù)器資源的浪費�,CPU長時間處于100%,永遠都有處理不完的連接����,造成網(wǎng)絡(luò)擁塞,正常的訪問被中止�。
 圖一:網(wǎng)絡(luò)擁塞
過去DDoS攻擊以流量型攻擊為主,更多的針對運營商的網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)��;而當前的DDoS攻擊越來越多的是針對具體應(yīng)用和業(yè)務(wù)����,如:針對某個移動APP應(yīng)用���、企業(yè)門戶應(yīng)用�、在線購物、在線視頻���、在線游戲�、DNS����、Email等,攻擊的目標更加廣泛�,單次攻擊流量小成本低,移動型智能終端攻擊,攻擊行為更為復(fù)雜和仿真��,造成DDoS攻擊檢測和防御更加困難���。 想象一下����,在網(wǎng)絡(luò)世界夜幕低垂時�����,服務(wù)器、PC���、Pad��、手機�����、智能電視�、路由器�����、打印機�����、攝像頭……這些數(shù)字節(jié)點如同四面八方的螢火蟲般為某次DDoS攻擊默默地貢獻自己的資源���,前赴后繼�,直至目標業(yè)務(wù)無法正常運行�����。 業(yè)務(wù)剛剛起步,就遭到來路不明的DDoS攻擊����,有的攻擊來自同行競爭,有的攻擊來自敲詐勒索���。此時我們沒有多余的錢來自建防護,也沒有足夠的技術(shù)沉淀來自建防護����,企業(yè)陷入了進退兩難的境地。相信很多互聯(lián)網(wǎng)初創(chuàng)企業(yè)都深有感觸���。 針對DDoS攻擊����,云端衛(wèi)士自建清洗服務(wù)中心��、與IDC共建清洗服務(wù)中心以 提高防護帶寬和防護范圍�����。云端衛(wèi)士防護提供了高防IP、域名解析�����、BGP引流等多種解決方案�����,以適應(yīng)不同客戶的具體防護業(yè)務(wù)場景�����。同時多個清洗服務(wù)中心可以聯(lián)動防護和自動�,為客戶提供高質(zhì)量、高價值抗DDoS服務(wù)��。 目前云端衛(wèi)士的業(yè)務(wù)模式主要分為一站式托管防護和便捷式云端防護: 1) 在一站式托管防護的抗DDoS業(yè)務(wù)模式下�����,用戶購買抗DDoS業(yè)務(wù)�,需要把域名解析到云端衛(wèi)士提供的CNAME記錄上,并配置源站服務(wù)器IP���;如果非Web業(yè)務(wù)�����,直接將業(yè)務(wù)IP換成云端衛(wèi)士提供的高防IP即可����;所有公網(wǎng)流量都會經(jīng)過云端衛(wèi)士的智能抗DDoS設(shè)備,惡意DDoS攻擊流量在智能抗DDoS設(shè)備上會被丟棄���,正常業(yè)務(wù)流量請求送回源站IP�����,從而確保源站IP安全穩(wěn)定可用。 
圖二一站式托管防護 2) 在便捷式云端防護的抗DDoS業(yè)務(wù)模式下�����,用戶購買抗DDoS業(yè)務(wù)����,可以通過域名解析的方式,將流量牽引到智能抗DDoS設(shè)備�。也可以通過流量牽引(如BGP流量牽引、OSPF流量牽引等)����,直接將客戶提供客戶服務(wù)的IP地址流量牽引到智能抗DDoS設(shè)備���,由智能抗DDoS設(shè)備對流量進行過濾后,將正常流量轉(zhuǎn)發(fā)給服務(wù)器�����;服務(wù)器響應(yīng)的流量直接返回給客戶端之前�,無需再次經(jīng)過智能抗DDoS設(shè)備。 
圖三便捷式云端防護 云端衛(wèi)士自主研發(fā)的智能抗DDoS設(shè)備內(nèi)置了當前主流的DDoS防御算法�����;同時又提供開放接口�����,可以隨時添加新的防御特征�,以防護最新的攻擊。現(xiàn)在云端衛(wèi)士的每個清洗服務(wù)中心都設(shè)置了一套智能行為分析平臺和多臺智能抗DDoS設(shè)備�。 智能抗DDoS設(shè)備負責具體的防護,并將異常IP�、正常IP和相關(guān)統(tǒng)計信息上傳到智能行為分析平臺;這些智能抗DDoS設(shè)備之間可以進行聯(lián)動;智能分析平臺負責對智能抗DDoS設(shè)備上傳的信息進行匯總和分析��,將分析結(jié)果下發(fā)到本地智能抗DDoS設(shè)備并上傳到總控節(jié)點��??偪毓?jié)點匯集智能行為分析平臺的信息,形成云端衛(wèi)士的信譽庫和行為特征庫�����,下發(fā)到各地節(jié)點����。同時,各個節(jié)點的數(shù)據(jù)可以共享云端衛(wèi)士的信譽庫和行為特征庫�����,并對信譽庫和行為特征庫反饋的數(shù)據(jù)�。 未來�,網(wǎng)絡(luò)攻擊仍將處于不斷增多且更加復(fù)雜化的趨勢下,有效應(yīng)對且最小化業(yè)務(wù)損失會是企業(yè)要迫切解決的問題�。云端衛(wèi)士智能DDoS防護系統(tǒng)將一直致力于幫助客戶解決這些問題。
|
