DDoS攻擊是目前網(wǎng)絡(luò)攻擊中最強(qiáng)大、最難防御的一種�����,它主要通過(guò)大量合法請(qǐng)求來(lái)獲取大量網(wǎng)絡(luò)資源,使得正常用戶無(wú)法訪問(wèn)�����。DDoS在過(guò)去的二十年中一直是網(wǎng)絡(luò)犯罪的一種重要工具�,如今它的發(fā)展越來(lái)越強(qiáng)大,感染范圍也越來(lái)越廣����。隨著DDOS系統(tǒng)的不斷“進(jìn)化”,DDoS防護(hù)方式也在不斷地發(fā)展演變��,F(xiàn)在防御吧將與您分享這二十多年來(lái)DDoS防御系統(tǒng)的發(fā)展與發(fā)展����。
1.內(nèi)核優(yōu)化時(shí)代��。
早在DDoS防御時(shí)���,并沒(méi)有專業(yè)的防護(hù)清洗設(shè)備��,當(dāng)時(shí)的網(wǎng)絡(luò)帶寬也比較小�,許多人是用56K的modem撥號(hào)上網(wǎng),攻擊者可以利用的帶寬也相對(duì)較小���,對(duì)于防御者而言����,一般通過(guò)內(nèi)核優(yōu)化�、iptables就能基本解決攻擊,有內(nèi)核開(kāi)發(fā)能力的人也可以通過(guò)編寫(xiě)高防服務(wù)器的防護(hù)模塊來(lái)提升防護(hù)能力�����。
此時(shí)�����,利用Linux本身所提供的功能基本可以防御DDoS攻擊�����。例如���,對(duì)SYNFLOOD攻擊��,調(diào)整net.ipv4.tcp_max_syn_backlog參數(shù)來(lái)控制半連接隊(duì)列上限�����,以避免出現(xiàn)連接中斷�����,調(diào)整net.ipv4.tcp_tw_recycle,net.ipv4.tc_fin_timeout來(lái)控制tcp狀態(tài)在TIME-WAIT���、FIN-WAIT-2中�����;對(duì)于ICMPFLOOD攻擊�,控制IPTABLES以關(guān)閉和限制ping消息的速率���,或者過(guò)濾掉不符合RFC協(xié)議規(guī)范的異常消息�����。但這種方法只是優(yōu)化單個(gè)服務(wù)器,隨著攻擊的資源和強(qiáng)度的逐漸增強(qiáng)�,這種保護(hù)方式就顯得力不從心。
2.專業(yè)的anti-DDoS硬件防火墻�。
DDoS硬件防火墻從功耗���、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等多個(gè)方面進(jìn)行了優(yōu)化����,以滿足DDoS流量清理需求。IDC服務(wù)提供商會(huì)購(gòu)買(mǎi)anti-DDoS硬件防火墻����,部署在機(jī)房入口處為整個(gè)機(jī)房提供清潔服務(wù),這些清潔箱的性能從單百兆的性能逐漸提高到1Gbps����、10Gbps、20Gbps�、100Gbps或更高,并且基本涵蓋3-7層的各種攻擊功能(SYN-FLOOD�、UDP-FLOOD、ICMP-FLOOD�����、TCP連接型FLOOD��、CC攻擊����、DNS-FLOOD���、ICP、FLOOD�����、CC攻擊��、DNS-FLOOD�、反射攻擊等)。
對(duì)于IDC服務(wù)提供商來(lái)說(shuō)����,這一點(diǎn)對(duì)于IDC運(yùn)營(yíng)商來(lái)說(shuō)是相當(dāng)昂貴的,每一個(gè)機(jī)房入口都需要清洗設(shè)備�����,需要專業(yè)的操作人員進(jìn)行維護(hù)�����,而IDC機(jī)房并非每個(gè)IDC機(jī)房都能有相同的清洗防護(hù)能力�����,有的小機(jī)房只有20G帶寬���,不具備復(fù)用這些清洗設(shè)備的能力���。
3.云時(shí)代DDoS的高防IP保護(hù)方案。
在云時(shí)代���,服務(wù)被部署在不同的云或傳統(tǒng)的IDC機(jī)房?jī)?nèi)��,他們提供的DDoS基本清理服務(wù)基本上都是很小的����,當(dāng)受到超大流量的DDoS攻擊時(shí)���,主機(jī)所在的機(jī)房無(wú)法提供相應(yīng)的防護(hù)能力���,為了保護(hù)他們的服務(wù)不受影響,會(huì)有一個(gè)直接“黑洞”��。當(dāng)服務(wù)器受攻擊流量超過(guò)IDC機(jī)房黑洞閾值時(shí)����,IDC機(jī)房將屏蔽服務(wù)器的外部接入�,避免攻擊持續(xù)����,影響整個(gè)機(jī)房的穩(wěn)定。
因此�����,像防御吧的DDoS高防IP就是通過(guò)建立各種大帶寬機(jī)房����,提供一套DDoS解決方案,將流量轉(zhuǎn)移到DDoS高防IP上進(jìn)行保護(hù)���,然后再將清洗后的干凈流量轉(zhuǎn)發(fā)給用戶真正的源站�����。這樣就可以復(fù)用機(jī)房資源��,專業(yè)機(jī)房做些專業(yè)的事�����。降低DDoS防護(hù)的復(fù)雜性��,以SaaS化方式提供DDoS清洗服務(wù)��,保證企業(yè)服務(wù)器的正常運(yùn)行����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
