分布式拒绝服务(DDoS)使用大量有效请求来消耗网络资源,并使服务无响应并且对合法用户不可用。目前,DDoS攻击是最有力的网络攻击防御之一。
DDoS已经在网络安全领域长期存在,并且是一种古老的攻击方法。DDoS预防也经历了不同的阶段。
内核优化在早期,没有专业的流量清理服务可用于防范DDoS攻击。当时,互联网带宽也相对较小,大多数人使用56K调制解调器获得拨号上网。攻击者只能利用一小部分带宽。通常,防御者可以通过优化内核参数和iptables来防止DDoS攻击。
在此阶段,Linux内置的功能可防御DDoS攻击。例如,对于SYN泛洪攻击,调整net.ipv4.tcp_max_syn_backlog参数,控制syn队列的上限以避免完全连接,并调整net.ipv4.tcp_tw_recycle和net.ipv4.tcp_fin_timeout以使TCP保留数量TIME-WAIT和FIN-WAIT-2中的连接。对于ICMP泛洪攻击,Iptables被调整为关闭或限制ping数据包的速率或过滤不符合RFC协议的格式错误的数据包。但是,这种保护方法只优化了一台服务器。随着资源攻击强度的增加,这种保护方法无法有效抵御DDoS攻击。
专业的Anti-DDoS硬件防火墙专业的防DDoS硬件防火墙可以优化功耗,转发芯片,操作系统等。这些防火墙可以满足DDoS流�6�7�6�7量清洗的需求。通常,IDC服务提供商购买反DDoS硬件防火墙并在数据中心的入口处部署它们,以便为整个数据中心提供清理服务。这些清理服务的性能逐渐从最初的每台100 MB发展到1 Gbit / s,10 Gbit / s,20 Gbit / s,100 Gbit / s或更高。这些清理服务涵盖从第3层到第7层的各种攻击,例如SYN-FLOOD,UDP-FLOOD,ICMP-FLOOD,ACK-FLOOD,TCP连接泛洪,CC攻击,DNS-FLOOD和反射攻击。
但是,这种DDoS预防方法对于IDC服务提供商来说非常昂贵。每个数据中心的入口都需要擦洗设备,需要特殊的维护人员来维护设备和服务。此外,并非所有IDC都具有相同的擦洗和保护功能。一些小型数据中心的上行链路可能只有20 GB带宽,无法重复使用这些擦除设备。
云时代具有安全IP地址的高级Anti-DDoS系统在云时代,服务部署在各种云或传统的IDC中。提供的DDoS清理服务没有一致的标准。在超大量DDoS攻击流量的情况下,托管服务的数据中心无法提供匹配的保护功能。为了保护服务免受影响,我们必须创建“黑洞”概念。采用黑洞机制后,当服务器的攻击流量大于IDC中的黑洞触发阈值时,IDC将阻止该服务器的Internet访问,以避免持续攻击并确保IDC的整体稳定性。
在这种情况下,具有安全IP地址的高级防DDoS系统通过为数据中心提供高带宽,将流量转换为这些IP地址,然后将清理后的流量转发到用户的源站,提供了一整套防DDoS解决方案。此保护方法支持重用数据中心资源,并允许数据中心更多地关注其预期角色。此外,这种保护方法通过以基于SaaS的方式提供DDoS清理服务来简化DDoS预防。
云时代具有安全IP地址的高级反DDoS系统可以满足高带宽的需求。它还允许用户隐藏其源站并灵活地更改清理服务提供商。
具有安全IP地址的高级Anti-DDoS系统的关键组件
带宽和网络带宽和网络是实现DDoS保护的首要要求。为了有效防御DDoS攻击,我们需要做的第一件事就是建立一个高带宽的数据中心。目前,中国的主流数据中心是单线数据中心,只有一家网络提供商(中国电信,中国联通或中国移动)和多线BGP数据中心,这些中心拥有多个网络提供商。
多线与单线数据中心
特点:
带宽和成本:单线数据中心的成本适中,但需要相对较高的带宽(TB级别)才能防止DDoS攻击。多线BGP数据中心的初始成本可能更高,但它只需要相对较低的带宽来防止DDoS攻击。
访问质量:单线数据具有平均访问质量,因为它受运营商之间的跨网络性能影响。多线路提供最佳的BGP网络。
业务复杂性:用户需要多个IP地址来实现多线路接入 - 例如,分别是中国电信,中国联通和中国移动IP,导致业务复杂性高。实现多线连接只需要一个IP地址,业务复杂性相对较低。
灾难恢复:单线灾难恢复不充分,效率低下。如果数据中心遇到网络故障,则灾难恢复仅支持在业务层中进行切换。BGP具有冗余备份和环路消除功能。当IDC供应商具有多个BGP互连线路时,供应商可以以备份模式部署路由。如果一条线路出现故障,路由将自动切换到另一条线路。
另一个方面是最大带宽。目前,300 Gbit / s只是一种基本的保护功能。保护级别高达一个Tbit / s或无限保护解决方案成为越来越多用户的选择。
多线路BGP数据中心的TB级保护能力也成为未来的发展目标。阿里云致力于为客户提供卓越的访问质量和保护能力的Anti-DDoS Pro。
大型交通清洗集群
这是另一项关键技术。DDoS清理的核心部分是拦截攻击流量。以下是一般攻击类型和对策:
攻击预防