当有足够的带宽时,我们需要考虑如何清除DDoS攻击流量。通常,专业的DDoS擦洗设备采用以下典型的保护和防范方法:丢弃畸形报文和特定协议,验证源反射攻击,统计速率限制行为识别。攻击通常包括SYN-FLOOD,UDP-FLOOD,ICMP-FLOOD,ACK-FLOOD,TCP连接泛洪,CC攻击,DNS-FLOOD和反射攻击。
丢弃格式错误的数据包和特定协议非常简单。指定的方法可用于防止反射攻击和不遵循RFC协议的消息。
源反射验证是防御SYN泛洪攻击的对策。通常,使用反向验证。擦除设备通过在TCP三次握手中回答SYN-ACK消息期间使用特殊算法生成的序列号来代表服务器验证访问源的真实性。该算法考虑了许多因素,例如双方的IP地址和端口,并验证ACK消息。如果访问是真实且合法的,则允许连接流量。同样,为了抵御复杂的CC攻击,可以使用图片验证码来验证看似潜在的攻击者是否是真实合法的客户。
统计速率限制和行为识别基于黑名单,白名单,用户访问率和行为来启用速率控制。
集群架构从目前的DDoS预防趋势来看,DDoS预防解决方案需要弹性扩展以更好地抵御攻击。在这里我们需要提到100 GB接口的流行度。通常,用于流量负载平衡的散列基于五元组的特征。如果针对攻击流量的五元组的哈希值不均匀,则更有可能发生拥塞。根本不会将流量发送到清理引擎。这也是大型集群清洁系统的重要组成部分。
预防性防御计划规划防御DDoS攻击的对策也非常重要。高效的规划需要多年的DDoS预防经验。在新攻击和紧急事件的情况下,快速分析和决策在解决问题方面发挥着关键作用。
负载平衡设备和安全组件
负载平衡是高级代理保护的关键技术。负载平衡包括第四层和第七层。
第四层负载平衡为每个客户的业务提供独有的IP地址。第四层服务器负载平衡本身需要高性能和高可用性转发功能以及安全保护功能,以抵御连接攻击。
第七层负载平衡目标是网站服务的代理保护。支持HTTP / HTTPS和防御CC攻击的功能已集成到第七层负载均衡系统中。
专用IP地址:专用IP地址的一个优点是,如果一个IP地址受到DDoS攻击,其他服务将不会因资源隔离而受到影响。
高可用性和高可扩展性:您可以根据应用程序负载扩展服务,而不会中断服务连续性。您可以根据需要增加或减少后端服务器的数量,以扩展应用程序的服务功能。
安全功能:您可以查看有关传入和传出流量的信息,并在域,会话或应用程序级别实施精确的DDoS保护。
为了实现最终的DDoS保护,有必要将第四层和第七层的深入安全能力开发与大流量清理集群相结合。
实时数据分析系统流量分析
首先,让我们看一下数据源。目前有许多数据源机制可用。一种众所周知的NetFlow机制,用于样本分析和攻击检测。一对一流量分割也可用于获取统计和检测的所有流量。显然,后一种方法需要更多的资源和更有效的数据分析系统。需要更多开发和技术支持的系统通常可以提高分析效率。
应用识别
获取原始消息和数据后,我们需要区分应用程序。可以在IP级别,IP +端口级别,域名级别或其他级别进行应用程序区分。不同的服务需要不同的预防方法 我们需要根据特定服务的特征定制专门的预防计划。
攻击分析
当前的DDoS攻击分析不再依赖于基于统计的分析算法。针对攻击分析,引入了行为识别和机器学习的理论和实践。这些算法可以帮助我们更好地抵御DDoS攻击。我们还应该考虑如何在用户的攻击保护工作中有效地应用这些算法。
结论前面的内容反映了DDoS攻击保护的木桶理论。攻击预防的每个方面都将影响整体保护,有效性和效率。具有安全IP地址的未来高级反DDoS系统应具有弹性带宽,高冗余,高可用性,高访问质量和简单的业务集成。同时,基于OPENAPI的DDoS保护与用户自动维护系统的结合可以为业务带来更高的安全性并促进业务增长。