前有令人聞風(fēng)喪膽的“熊貓燒香”,現(xiàn)有令人談之色變的DDoS攻擊��。面對DDoS攻擊���,很多企業(yè)往往束手無策���,但其實DDoS攻擊并不是不能解決的,通過云清洗的方式就可以有效解決DDoS攻擊帶來的困擾��。
DDoS攻擊其實時刻發(fā)生在我們?nèi)粘I钪����,不少企業(yè)都面臨著DDoS攻擊的威脅,所以DDoS攻擊也越來越引起人們的重視�,但是在很多企業(yè)了解了DDoS攻擊的原理之后,反倒覺得無從下手�����,也正是在網(wǎng)絡(luò)安全界一直流傳的一個疑問:DDoS攻擊真的是無解的嗎?但其實DDoS攻擊并非無解�����,總體來說可以分為兩個階段解決:檢測攻擊����、清洗攻擊。
DDoS防護(hù)檢測很重要
之所以很多人認(rèn)為DDoS攻擊無解就是因為其攻擊流量混雜在正常流量當(dāng)中不好去識別�,要么阻擋所有流量,要么就全部放行�,這并不能解決DDoS攻擊。
所以檢測尤為重要�,能夠檢測出攻擊流量是防護(hù)的第一步。一個較完美的檢測方式是使用分光做1:1的流量鏡像�����,然后旁路檢測流量鏡像���,這樣的話不影響業(yè)務(wù)正常運(yùn)轉(zhuǎn)。
這里的檢測便是關(guān)鍵�,需要利用流量行為建模和AI智能引擎相結(jié)合才可以有效檢測分析出流量中是否存在攻擊行為。
DDoS防護(hù)清洗攻擊是關(guān)鍵
既然檢測出了攻擊流量,那么清洗的難度就沒那么大了��。在檢測到某個IP之后��,通過BGP路由牽引至清洗集群防護(hù)���,清洗后的干凈流量���,回注至核心路由,最終流至用戶的云主機(jī)或通過轉(zhuǎn)發(fā)集群流至用戶在云外的備用機(jī)房中�。
至于清洗的算法,主要是基于IP/TCP/UDP/HTTP(S)的協(xié)議規(guī)范以及人機(jī)識別來過濾攻擊流量����。
DDoS防護(hù)體系
一個優(yōu)秀的DDoS攻擊整體防護(hù)體系需要幾個部分組成,外部機(jī)房���、高防IP轉(zhuǎn)發(fā)集群���,核心路由、核心網(wǎng)關(guān)�、BGP高防專區(qū)。
這幾塊相互協(xié)作的流程是當(dāng)ISP網(wǎng)絡(luò)中的攻擊流量過來之后先通過1:1的分光�����,將分光之后的鏡像流量導(dǎo)至BGP高防專區(qū)做檢測,然后直接丟棄檢測后的攻擊流量�,隨即將正常流量回注至核心路由。
然后通過核心網(wǎng)關(guān)分發(fā)至云主機(jī)和高防IP集群���,因為在清洗之后仍然會有部分攻擊流量殘留�����,所以需要進(jìn)一步由高防IP集群將其中的正常流量轉(zhuǎn)發(fā)至外部機(jī)房及云主機(jī)��。
以上就是解決DDoS攻擊的一個有效防護(hù)框架�,通過檢測�����、清洗兩個主要流程來過濾流量���,將有效流量保留下來���。就相當(dāng)于在被攻擊的目標(biāo)前面設(shè)立了一個“派出所”,將人群中的壞人篩選出來����,篩選出來之后把“好人”放行,對于網(wǎng)站的所有者來說�,是一種不會影響核心的業(yè)務(wù)運(yùn)轉(zhuǎn)的方式。
DDoS攻擊現(xiàn)如今仍然是網(wǎng)絡(luò)攻擊中的一大熱門攻擊類型�,但已經(jīng)不是不能解決的問題了。關(guān)于網(wǎng)絡(luò)安全����,其實更需要企業(yè)做到未雨綢繆,在建站或者業(yè)務(wù)提升的上升期���,更需要做好網(wǎng)絡(luò)安全加固��,一方面減少損失���,另一方面也能順應(yīng)國家網(wǎng)絡(luò)安全法頒布的等級保護(hù)制度,實現(xiàn)真正的網(wǎng)絡(luò)安全�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
