DDoS高防是針對游戲�、金融、網(wǎng)站等用戶在遭受大流量DDoS攻擊后導致服務不可用的情況下�,推出的付費增值服務,用戶可以通過配置高防IP���,將攻擊流量引流到高防IP�����,確保源站穩(wěn)定可靠��。
高防服務器主要是指獨立單個硬防防御 50G 以上的服務器����,可以為單個客戶提供安全維護�,總體來看屬于服務器的一種,根據(jù)各個 IDC 機房的環(huán)境不同�,有的提供有硬防���,有使用軟防。簡單來說�,就是能夠幫助網(wǎng)站拒絕服務攻擊,并且定時掃描現(xiàn)有的網(wǎng)絡主節(jié)點�����,查找可能存在的安全漏洞的服務器類型�,都可定義為高防服務器。
硬防和軟防
在選擇高防服務器的時候����,要先了解防御類型和防御大小。防火墻是介于內部網(wǎng)和外部網(wǎng)之間�、專用網(wǎng)和公共網(wǎng)之間的一種保護屏障,防火墻分為兩種:一種是軟件防火墻���、另一種是硬件防火墻�����。
1、軟件防火墻:軟件防火墻是寄生于操作平臺上的���,軟件防火墻是通過軟件去實現(xiàn)隔離內部網(wǎng)與外部網(wǎng)之間的一種保護屏障�。
2、硬件防火墻:硬件防火墻是鑲嵌系統(tǒng)內的����,硬件防火墻是有軟件和硬件結合而生成的,硬件防火墻從性能方面和防御方面都要比軟件防火墻要好���。
流量牽引
其次是流量牽引技術�,這是一種新型的防御��,它能把正常流量和攻擊流量區(qū)分開��,把帶有攻擊的流量牽引到有防御 DDOS����、CC 等攻擊的設備上去,把流量攻擊的方向牽引到其它設備上去而不是選擇自身去硬抗���。
攻擊分類
從防御范圍來看�����,高防服務器能夠對 SYN�����、UDP�、ICMP、HTTP GET 等各類 DDoS 攻擊進行防護�,并且能針對部分特殊安全要求的 web 用戶提供 CC 攻擊動態(tài)防御。一般情況下�����,基于包過濾的防火墻只能分析每個數(shù)據(jù)包�,或者有限的分析數(shù)據(jù)連接建立的狀態(tài),防護 SYN 或者變種的 SYN�����、ACK 攻擊效果不錯,但是不能從根本上來分析 tcp 或者 udp 協(xié)議���。
SYN
SYN 變種攻擊發(fā)送偽造源 IP 的 SYN 數(shù)據(jù)包但是數(shù)據(jù)包不是 64 字節(jié)而是上千字節(jié)這種攻擊會造成一些防火墻處理錯誤鎖死����,消耗服務器 CPU 內存的同時還會堵塞帶寬�����。TCP 混亂數(shù)據(jù)包攻擊發(fā)送偽造源 IP 的 TCP 數(shù)據(jù)包,TCP 頭的 TCP Flags 部分是混亂的可能是 syn ,ack ,syn+ack ,syn+rst 等等�,會造成一些防火墻處理錯誤鎖死�����,消耗服務器 CPU 內存的同時還會堵塞帶寬����。
UDP
針對用 UDP 協(xié)議的攻擊很多聊天室,視頻音頻軟件�,都是通過 UDP 數(shù)據(jù)包傳輸?shù)模粽哚槍Ψ治鲆舻木W(wǎng)絡軟件協(xié)議�,發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包,這種攻擊非常難防護�,一般防護墻通過攔截攻擊數(shù)據(jù)包的特征碼防護,但是這樣會造成正常的數(shù)據(jù)包也會被攔截���,針對 WEB Server 的多連接攻擊通過控制大量肉雞同時連接訪問網(wǎng)站�,造成網(wǎng)站無法處理癱瘓����。由于這種攻擊和正常訪問網(wǎng)站是一樣的,只是瞬間訪問量增加幾十倍甚至上百倍��,有些防火墻可以通過限制每個連接過來的 IP 連接數(shù)來防護,但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封���,針對 WEB Server 的變種攻擊通過控制大量肉雞同時連接訪問網(wǎng)站����,一點連接建立就不斷開��,一直發(fā)送發(fā)送一些特殊的 GET 訪問請求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費大量的 CPU,這樣通過限制每個連接過來的 IP 連接數(shù)就失效了���,因為每個肉雞可能只建立一個或者只建立少量的連接�。這種攻擊非常難防護���。
攻擊解析
SYN 攻擊屬于 DOS 攻擊的一種�,它利用 TCP 協(xié)議缺陷�,通過發(fā)送大量的半連接請求,耗費 CPU 和內存資源��。TCP 協(xié)議建立連接的時候需要雙方相互確認信息,來防止連接被偽造和精確控制整個數(shù)據(jù)傳輸過程數(shù)據(jù)完整有效�����。所以 TCP 協(xié)議采用三次握手建立一個連接。
第一次握手:建立連接時�,客戶端發(fā)送 syn 包到服務器,并進入 SYN_SEND 狀態(tài)���,等待服務器確認����;
第二次握手:服務器收到 syn 包�����,必須確認客戶的 SYN 同時自己也發(fā)送一個 SYN 包 即 SYN+ACK 包��,此時服務器進入 SYN_RECV 狀態(tài)����;
第三次握手:客戶端收到服務器的 SYN+ACK 包���,向服務器發(fā)送確認包 ACK 此包發(fā)送完畢�,客戶端和服務器進入 ESTABLISHED 狀態(tài)�,完成三次握手。
假設一個用戶向服務器發(fā)送了 SYN 報文后突然死機或掉線��,那么服務器在發(fā)出 SYN+ACK 應答報文后是無法收到客戶端的 ACK 報文的(第三次握手無法完成),這種情況下服務器端一般會重試(再次發(fā)送 SYN+ACK 給客戶端)并等待一段時間后丟棄這個未完成的連接��,這段時間的長度稱為 SYN Timeout����,一般來說這個時間是分鐘的數(shù)量級(大約為 30 秒-2 分鐘);一個用戶出現(xiàn)異常導致服務器的一個線程等待 1 分鐘并不是什么很大的問題����,但如果有一個惡意的攻擊者大量模擬這種情況,服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源—-數(shù)以萬計的半連接���,即使是簡單的保存并遍歷也會消耗非常多的 CPU 時間和內存�����,何況還要不斷對這個列表中的 IP 進行 SYN+ACK 的重試����。實際上如果服務器的 TCP/IP 棧不夠強大�����,最后的結果往往是堆棧溢出崩潰—即使服務器端的系統(tǒng)足夠強大����,服務器端也將忙于處理攻擊者偽造的 TCP 連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之����。��,此時從正�?蛻舻慕嵌瓤磥恚⻊掌魇ロ憫��,這種情況稱做:服務器端受到了 SYN Flood 攻擊(SYN 洪水攻擊)
功能介紹:
1 DDoS流量清洗���、應用層防護:提供高帶寬,精準可靠的DDoS流量清洗功能�����,有效防護各類DDoS攻擊�、應用層攻擊。
2 彈性帶寬防護:在保底帶寬基礎上提供彈性帶寬防護���,用戶可靈活選擇20-600G防護帶寬�。
3 多轉發(fā)協(xié)議:支持用戶配置多條轉發(fā)協(xié)議�,支持流量負載均衡�����,業(yè)務流量均勻分發(fā)��。
4 攻擊統(tǒng)計�����、防護報表展示:提供DDoS流量清洗統(tǒng)計信息���,提供報表展示實時和歷史攻擊情況,提供安全事件展示���。
產(chǎn)品優(yōu)勢:
1 海量帶寬:5T+ DDoS高防總體防御能力����,單IP最高600G防御能力����,抵御各類網(wǎng)絡層、應用層的DDoS攻擊��。
2 彈性防護:通過基礎帶寬+彈性帶寬的購買方式����,DDoS防護閾值支持彈性調整�����,可隨時升級更高級別的防護���。
3 高可用服務:全自動檢測和攻擊策略匹配,實時防護���,清洗服務可用性99.9%�����;業(yè)務流量采用集群分發(fā),性能高�����,時延低�,穩(wěn)定性好。
4 專業(yè)運營團隊:7*24小時運營團隊隨時應對����;專業(yè)的運營人員隨時解答您的疑問��,為您的業(yè)務保駕護航�����。
使用場景:
1 大企業(yè)門戶:為企業(yè)門戶提供低成本����、高可靠的DDoS防護�,通過多轉發(fā)規(guī)則將用戶訪問流量均勻分發(fā)到多個后端云服務器上,確保用戶業(yè)務的穩(wěn)定可靠�。
2 電商平臺:為電商用戶提供高可靠,高帶寬的DDoS防護����,保障金融業(yè)務在大流量突發(fā)攻擊時的業(yè)務穩(wěn)定。
3 游戲服務:為游戲用戶提供高穩(wěn)定性���、高業(yè)務帶寬����、低時延的DDoS防護能力�,保障游戲業(yè)務流暢穩(wěn)定。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
