温州信息港

当前位置:

藍技巧巧妙化解DDoS攻擊

2019/05/02 来源:温州信息港

导读

對于企業特別是電信運營商數據中心絡來講,分布式拒絕服務攻擊(DDoS)的出現無疑是一場災難,對于它的有效防護一直是絡應用中的一個難題。一

對于企業特別是電信運營商數據中心絡來講,分布式拒絕服務攻擊(DDoS)的出現無疑是一場災難,對于它的有效防護一直是絡應用中的一個難題。

一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标。和交通堵塞一样,DDoS已成为一种络公害。

传统防护:有心无力

避免DDoS攻击,比较常用的有黑洞法、设置路由访问控制列表过滤和串联防火墙安全设备等几种。

黑洞法:具体做法是当服务器遭受攻击以后,在络当中设置访问控制,将所有的流量放到黑洞里面去扔掉。这个做法能够在攻击流量过来的时候,将所有攻击拒之门外,保证对全部骨干不造成影响,但它同时也将正常流量挡在了门外,造成服务器没法向外部提供服务,中断了与用户的联系。

设置路由访问控制列表过滤: 这种方法企业用户自己不去部署,而是由电信等服务提供商对骨干络进行配置,在路由器上进行部署。现在路由器上的部署就是两种方式,一种是ACL——作访问控制列表,还有一种方式是做数据限制。这两种方式都可以归结为ACL,它的问题是如果攻击来自于互联,将很难去制作面向源地址的访问列表,因为源地址出处带有很大的随意性,没法精确定位,惟一能做的就是就面向目的地址的ACL,把面向这个服务器的访问控制量列出来,将所有请求连接的数据包统统扔掉,用户的服务将受到极大影响。另外一个缺陷就是在电信骨干上设置这样的访问控制列表将给访问控制量管理带来极大困难。而且采用这种方法还带有很大的局限性,它无法辨认虚假和针对应用层的攻击。

串联的防火墙安全设备:对付DDoS攻击,还有一种是采取防火墙串联的方法,对于流量已达几十个G的运营商骨干络来说,由于防火墙能力和技术水平所限,几个G的防火墙装备很容易就会超载致使络没法正常运行,而且具有DDoS防护功能的防火墙吞吐量会更低,即使是防火墙中的“高手”也是有心无力,没法担此重任。另外采取这样的方法没法保护上行的装备,缺乏扩展性,还有就是无法有效的保护面向用户的资源。

解决之道在“智能”

从以上分析不难看,传统对付DDoS的方法效率不高,而且还存在着一些无法克服和解决的问题。智能化DDoS防护系统来自Riverhead公司(已被思科收购)的创新技术,其智能化DDoS防护系统是由检测器和防护器两部份构成。它具有使用方便,部署简单,无需改变络原先构架,实行动态防护等优点,从根本上解决了DDoS的防护问题。

防护器采用并联方式连接在骨干络当中,对络结构没有任何影响。当络中有不良流量对络进行攻击时,检测器会向防护器发出报警,这样DDoS防护器就能知道络中服务器被攻击的情况,攻击的目的以及来自哪些地址。这时防护器立即启动开始工作,通知路由器,将面向这些地址的流量全部都发送到防护器,暂时接管了络中的这些数据流量,并对其进行分析和验证,所有非法歹意流量将在这里被截获抛弃,而正常的流量和数据将被继续传送到目的地。

防护器采用了一种被称为MVP(屡次确认流程)的专利技术,通过5层分析和过滤,有效辨认和阻拦DDoS攻击。防护器采用专门的硬件结构来进行处理,使用了专用芯片,效率极高。在测试中,当络流量达到600兆左右的时候,它的CPU占用率才1%,延时1毫秒左右,完全能胜任大型骨干络的DDoS防护。

BAIDU_CLB_fillSlot("160927");

镇江首届书画拍卖会即将举槌组图
灌南做好中小企业发展加减法
海峡杯两岸慢速垒球赛厦门举行图
标签