DDoS防御發(fā)展史

DDoS(DistributedDenialofService，分布式拒絕服務(wù))是目前最強大、最難防御的網(wǎng)絡(luò)攻擊之一，主要通過大量合法請求占用大量網(wǎng)絡(luò)資源，使合法用戶無法得到服務(wù)響應(yīng)。

DDoS防御作為一種古老的攻擊方式，也經(jīng)歷了多個發(fā)展階段：

1.核心優(yōu)化時代

在早期，沒有專業(yè)的防護和清潔設(shè)備DDoS防御，當(dāng)時互聯(lián)網(wǎng)的帶寬也比較小，很多人都是在用56K的modem撥號上網(wǎng)時，攻擊者可以使用的帶寬也相對較小，對于防御者，一般通過內(nèi)核參數(shù)進行優(yōu)化iptables就能基本解決攻擊，有內(nèi)核開發(fā)能力的人還可以通過寫內(nèi)核防護模塊來提升防護能力。

在此期間，使用Linux提供的功能可以基本防御DDoS攻擊。比如針對SYNFLOOD攻擊，調(diào)整net.ipv4.tcp_max_syn_backlog參數(shù)控制半連接隊列上限，避免連接被打滿，調(diào)整net.ipv4.tcp_tw_recycle，net.ipv4.tcp_fin_timeout來控制tcp狀態(tài)保持在TIME-WAIT，F(xiàn)IN-WAIT-2連接數(shù)；針對ICMPFLOOD攻擊，控制IPTABLES關(guān)閉和限制ping也可以過濾掉不符合報文的速率RFC協(xié)議規(guī)范的畸形報文。然而，這種方法只是在優(yōu)化單臺服務(wù)器。隨著攻擊資源和力量的逐步增強，這種保護方法似乎無能為力。

2.專業(yè)anti-DDoS硬件防火墻

專業(yè)anti-DDoS硬件防火墻優(yōu)化了功耗、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等部件DDoS流量清洗的要求。一般IDC服務(wù)提供商會購買anti-DDoS硬件防火墻部署在機房入口處，為整個機房提供清潔服務(wù)。這些清潔箱的性能逐漸從100兆字節(jié)發(fā)展到1Gbps、10Gbps、20Gbps、100Gbps或者更高，提供的清潔功能也基本涵蓋了3-7層的各種攻擊(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等)。

這種方式對IDC對于服務(wù)提供商來說，成本相當(dāng)高。每個機房的入口都需要覆蓋清潔設(shè)備和專業(yè)的操作和維護人員，而不是每個機房IDC機房可以有相同的清潔和保護能力，有些小機房可能只有20個G帶寬，沒有能力重復(fù)使用這些清潔設(shè)備。

3.云時代的DDoS高防IP防護方案

在云時代，服務(wù)部署在各種云或傳統(tǒng)云上IDC他們提供的機房DDoS基礎(chǔ)清潔服務(wù)標(biāo)準(zhǔn)不一致，流量過大DDoS在攻擊情況下，托管機房不能提供相應(yīng)的保護能力，必須保護其服務(wù)免受影響“黑洞”概念產(chǎn)生。黑洞是指服務(wù)器攻擊流量超過IDC機房黑洞閾值時，IDC機房將屏蔽服務(wù)器的外網(wǎng)訪問，避免持續(xù)攻擊，影響整個機房的穩(wěn)定性。

在這種情況下，DDoS高防IP通過建立各種大帶寬機房，提供全套服務(wù)DDoS解決方案，將流量轉(zhuǎn)移到DDoS高防IP進行保護，然后將清潔后的清潔流量轉(zhuǎn)發(fā)回用戶真正的源站。這樣，機房資源將被重用，專業(yè)機房將做專業(yè)的事情。DDoS以保護的復(fù)雜性SaaS提供化學(xué)方式DDoS清洗服務(wù)。

硬件防火墻

大型集群服務(wù)器

由此可見，云時代DDoS高防IP既能滿足大寬帶的剛性需求，又具有隱藏源站、靈活更換清潔服務(wù)商的優(yōu)點。

DDoS高防IP關(guān)鍵組成系統(tǒng)

1.帶寬&網(wǎng)絡(luò)

帶寬&網(wǎng)絡(luò)是DDoS保護的第一要求是擁有高帶寬的機房。目前，國內(nèi)主流機房主要包括電信單線機房、聯(lián)通單線機房、移動單線機房和BGP多線機房。

單線機房和BGP多線機房的特點和區(qū)別是什么？

另一個維度是帶寬上限，目前在中國DDoS高防IP來說，300Gbps的防護能力都是入門級別的，1Tbps越來越多的用戶選擇保護能力甚至無限抗解決方案。

2.大流量清洗集群

這是另一項關(guān)鍵技術(shù)。DDoS清洗的核心部分是攔截攻擊流。一般攻擊類型和對抗系統(tǒng)如下：

(1)攻擊防護:在帶寬資源充足的情況下，如何處理？DDoS下一步需要考慮攻擊流量清洗。一般來說，專業(yè)DDoS清洗防護設(shè)備的主要防護方法包括：畸形包、特定協(xié)議丟棄、源反彈認(rèn)證體系、限速統(tǒng)計&行為識別。一般有攻擊類型SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等。

丟棄畸形包和特定協(xié)議很簡單，即不符合要求RFC協(xié)議規(guī)范的報紙和反射攻擊可以通過指定紙和反射攻擊。

針對源反彈認(rèn)證synflood的防護方法，一般采用反向驗證的防護方法，如syncookie，也就是說，清證服務(wù)端訪問源的真實性，方法是TCP三次握手，回復(fù)synack報文時，使用特殊算法生成SequenceNumber，考慮到對方的算法IP、端口、己方IP、端口的固定信息和其他信息ack報文時確認(rèn)。假如是真正的訪問者，放行流量。如果是真正的訪問者，放行流量。同樣，復(fù)雜CC攻擊可以通過反彈圖像驗證碼來驗證攻擊者是否是真實客戶。

統(tǒng)計限速&在這里，行為識別將整合各種黑白名單，用戶訪問速度和行為，以保護速度控制。

(2)集群結(jié)構(gòu):目前DDoS在防護趨勢下，防護必須具有彈性擴容能力，才能跟上進攻防御的趨勢。此外，這里還將提到1000G口的普及。一般來說，流量的負載平衡是根據(jù)五元組的特點hash如果單口帶寬相對較小(10Gor40G)，那么一旦攻擊流量的五元組hash不均勻，他們有更大的機會擁堵，流量根本不會送到清潔設(shè)備發(fā)動機。這也是大集群清洗系統(tǒng)的重要組成部分。

(3)操作系統(tǒng):DDoS對抗操作也是一個非常關(guān)鍵的環(huán)節(jié)，需要多年的實時對抗經(jīng)驗?？焖俜治龊蜎Q策是解決問題的關(guān)鍵部分。

3.負載均衡設(shè)備&安全組件

負載均衡技術(shù)是代理高防的關(guān)鍵技術(shù)，包括4層負載均衡和7層負載均衡。

四層負載平衡技術(shù)為每個客戶業(yè)務(wù)提供獨家享受IP，本身的轉(zhuǎn)發(fā)能力應(yīng)具有高性能、高可用性和安全防護能力，能夠?qū)惯B接攻擊。

7層負載平衡技術(shù)是針對網(wǎng)站業(yè)務(wù)的代理和保護HTTP/HTTPS各種協(xié)議的支持CC攻擊保護將集成在7層負載均衡系統(tǒng)中。

深入開發(fā)4層和7層的安全功能，配合上下游，各取所長，配合大流量清洗集群，達到極致保護。

4.實時數(shù)據(jù)分析系統(tǒng)

(1)流量分析

首先是數(shù)據(jù)源。數(shù)據(jù)源機制有很多種。我們熟悉使用它NetFlow采樣分析攻擊檢測也可以通過1:1分光分流獲得所有流量統(tǒng)計檢測。顯然，1:1分光需要更高的資源和更高效的數(shù)據(jù)分析系統(tǒng)，需要研發(fā)能力和技術(shù)支持，也會取得更好的效果。

(2)應(yīng)用識別

在獲得原始報紙和數(shù)據(jù)后，我們需要做的是區(qū)分應(yīng)用程序。應(yīng)用程序的區(qū)別可以是IP等級，可以IP 端口級別，也可以是域名級別等。不同業(yè)務(wù)的防御方法不同，需要根據(jù)業(yè)務(wù)特點制定專業(yè)的防御方案。

(3)攻擊分析

目前DDoS攻擊分析擺脫了以往的統(tǒng)計分析算法，引入了行為識別和機器學(xué)習(xí)的理論和實踐，幫助我們更好地保護攻擊。我們還應(yīng)該注意如何有效地將這些算法實時應(yīng)用于用戶的防御對抗。

綜上來看，DDoS木桶短板原理存在于攻擊防護中，任何攻擊防護點的效果都會影響整體防御效果。DDoS高防IP具有彈性帶寬、冗余高、可用性高、訪問質(zhì)量好、業(yè)務(wù)接入簡單等特點。同時，通過DDoS防護能力的OPENAPI開放用戶自動化運維系統(tǒng)，實現(xiàn)安全與業(yè)務(wù)相結(jié)合，更好地幫助業(yè)務(wù)發(fā)展。

騰佑科技DDoS高防ip詳情請戳

游戲、金融、網(wǎng)站等用戶騰佑科技遭受了大流量DDoS在攻擊后導(dǎo)致服務(wù)不可用的情況下，推出DDoS高防ip付費增值服務(wù)，用戶可以配置高防御服務(wù)IP，將ddos將攻擊流引流到高防IP，確保源站穩(wěn)定可靠！詳細詢問在線客服！