|
就目前防御DDoS的方式來(lái)說(shuō)����,主要是兩個(gè)方面�,小流量攻擊可以在企業(yè)本地進(jìn)行設(shè)備防護(hù),大流量攻擊可以交給運(yùn)營(yíng)商及云端清洗��。這個(gè)分界點(diǎn)根據(jù)行業(yè)及業(yè)務(wù)特性的不同會(huì)有所差異�����,大概的量級(jí)應(yīng)該在百兆BPS左右��。 
我們知道DDoS攻擊是通過(guò)各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)CPU�、內(nèi)存、連接數(shù)等資源���,直接造成網(wǎng)絡(luò)帶寬耗盡或系統(tǒng)資源耗盡�,使得該目標(biāo)系統(tǒng)無(wú)法為正常用戶提供業(yè)務(wù)服務(wù)�,從而導(dǎo)致拒絕服務(wù)。異常流量清洗方式主要有三種: 首先是本地DDoS防護(hù)設(shè)備��。一般惡意組織發(fā)起DDoS攻擊時(shí),率先感知并起作用的一般為本地?cái)?shù)據(jù)中心內(nèi)的DDoS防護(hù)設(shè)備����,一般分為DDoS檢測(cè)設(shè)備�����、清洗設(shè)備和管理中心����。DDoS檢測(cè)設(shè)備日常通過(guò)流量基線自學(xué)習(xí)方式,按各種和防御有關(guān)的維度進(jìn)行統(tǒng)計(jì)���,形成流量模型基線����,從而生成防御閾值���。學(xué)習(xí)結(jié)束后繼續(xù)按基線學(xué)習(xí)的維度做流量統(tǒng)計(jì)�����,并將每一秒鐘的統(tǒng)計(jì)結(jié)果和防御閾值進(jìn)行比較����,超過(guò)則認(rèn)為有異常,通告管理中心���。由管理中心下發(fā)引流策略到清洗設(shè)備���,啟動(dòng)引流清洗。 異常流量清洗通過(guò)特征���、基線���、回復(fù)確認(rèn)等各種方式對(duì)攻擊流量進(jìn)行識(shí)別、清洗����。經(jīng)過(guò)異常流量清洗之后,為防止流量再次引流至DDoS清洗設(shè)備�����,可通過(guò)在出口設(shè)備回注接口上使用策略路由強(qiáng)制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)�����,訪問(wèn)目標(biāo)系統(tǒng)。 其次是運(yùn)營(yíng)商清洗服務(wù)����。當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDoS清洗設(shè)備性能不足以防御DDoS流量攻擊時(shí),需要通過(guò)運(yùn)營(yíng)商清洗服務(wù)或借助運(yùn)營(yíng)商臨時(shí)增加帶寬來(lái)完成攻擊流量的清洗���。運(yùn)營(yíng)商通過(guò)各級(jí)DDoS防護(hù)設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDoS攻擊行為��。實(shí)踐證明,運(yùn)營(yíng)商清洗服務(wù)在應(yīng)對(duì)流量型DDoS攻擊時(shí)較為有效���。 最后是云清洗服務(wù)�����。當(dāng)運(yùn)營(yíng)商DDoS流量清洗不能實(shí)現(xiàn)既定效果的情況下��,可以考慮緊急啟用運(yùn)營(yíng)商云清洗服務(wù)來(lái)進(jìn)行最后的對(duì)決�。依托運(yùn)營(yíng)商骨干網(wǎng)分布式部署的異常流量清洗中心����,實(shí)現(xiàn)分布式近源清洗技術(shù),在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉����,提升攻擊對(duì)抗能力����。具備適用場(chǎng)景的可以考慮利用CNAME或域名方式��,將源站解析到安全廠商云端域名����,實(shí)現(xiàn)引流、清洗��、回注�,提升抗D能力。進(jìn)行這類清洗需要較大的流量路徑改動(dòng)��,牽涉面較大�,一般不建議作為日常常規(guī)防御手段。 以上三種防御方式存在共同的缺點(diǎn)��,由于本地防御DDoS設(shè)備及運(yùn)營(yíng)商均不具備HTTPS加密流量解碼能力��,導(dǎo)致針對(duì)HTTPS流量的防護(hù)能力有限��;同時(shí)由于運(yùn)營(yíng)商清洗服務(wù)多是基于Flow的方式檢測(cè)DDoS攻擊,且策略的顆粒度往往較粗�,因此針對(duì)CC或HTTP慢速等應(yīng)用層特征的DDoS攻擊類型檢測(cè)效果往往不夠理想。 目前網(wǎng)絡(luò)安全界應(yīng)對(duì)大規(guī)模攻擊最有效的防御DDoS措施就是分布式集群防御��。它的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址�,并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊。如果一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù)�,系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)���,使攻擊源成為癱瘓狀態(tài)���,從更深層次的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策����。 
對(duì)比以上四種防御DDoS方式,發(fā)現(xiàn)單一解決方案不能完成所有DDoS攻擊清洗�����,因?yàn)榇蠖鄶?shù)真正的DDoS攻擊都是“混合”攻擊(摻雜各種不同的攻擊類型)��,所以DDoS防護(hù)也要采取綜合的手段來(lái)應(yīng)對(duì)這種“混合”攻擊�����。 本文來(lái)自:https://www./News/Industry/345.html
|
