T分析級(jí)攻勢DDOS高防IP系統(tǒng)架構(gòu)

DDoS防御發(fā)展史

DDoS(DistributedDenialofService，分布式拒絕服務(wù))是目前最強(qiáng)大、最難防御的網(wǎng)絡(luò)攻擊之一，主要通過大量合法請求占用大量網(wǎng)絡(luò)資源，使合法用戶無法得到服務(wù)響應(yīng)。

DDoS防御作為一種古老的攻擊方式，也經(jīng)歷了多個(gè)發(fā)展階段：

1.核心優(yōu)化時(shí)代

在早期，沒有專業(yè)的防護(hù)和清潔設(shè)備DDoS防御，當(dāng)時(shí)互聯(lián)網(wǎng)的帶寬也比較小，很多人都是在用56K的modem撥號(hào)上網(wǎng)時(shí)，攻擊者可以使用的帶寬也相對較小，對于防御者，一般通過內(nèi)核參數(shù)進(jìn)行優(yōu)化iptables就能基本解決攻擊，有內(nèi)核開發(fā)能力的人還可以通過寫內(nèi)核防護(hù)模塊來提升防護(hù)能力。

在此期間，使用Linux提供的功能可以基本防御DDoS攻擊。比如針對SYNFLOOD攻擊，調(diào)整net.ipv4.tcp_max_syn_backlog參數(shù)控制半連接隊(duì)列上限，避免連接被打滿，調(diào)整net.ipv4.tcp_tw_recycle，net.ipv4.tcp_fin_timeout來控制tcp狀態(tài)保持在TIME-WAIT，F(xiàn)IN-WAIT-2連接數(shù)；針對ICMPFLOOD攻擊，控制IPTABLES關(guān)閉和限制ping也可以過濾掉不符合報(bào)文的速率RFC協(xié)議規(guī)范的畸形報(bào)文。然而，這種方法只是在優(yōu)化單臺(tái)服務(wù)器。隨著攻擊資源和力量的逐步增強(qiáng)，這種保護(hù)方法似乎無能為力。

2.專業(yè)anti-DDoS硬件防火墻

專業(yè)anti-DDoS硬件防火墻優(yōu)化了功耗、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等部件DDoS流量清洗的要求。一般IDC服務(wù)提供商會(huì)購買anti-DDoS硬件防火墻部署在機(jī)房入口處，為整個(gè)機(jī)房提供清潔服務(wù)。這些清潔箱的性能逐漸從100兆字節(jié)發(fā)展到1Gbps、10Gbps、20Gbps、100Gbps或者更高，提供的清潔功能也基本涵蓋了3-7層的各種攻擊(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等)。

這種方式對IDC對于服務(wù)提供商來說，成本相當(dāng)高。每個(gè)機(jī)房的入口都需要覆蓋清潔設(shè)備和專業(yè)的操作和維護(hù)人員，而不是每個(gè)機(jī)房IDC機(jī)房可以有相同的清潔和保護(hù)能力，有些小機(jī)房可能只有20個(gè)G帶寬，沒有能力重復(fù)使用這些清潔設(shè)備。

3.云時(shí)代的DDoS高防IP防護(hù)方案

在云時(shí)代，服務(wù)部署在各種云或傳統(tǒng)云上IDC他們提供的機(jī)房DDoS基礎(chǔ)清潔服務(wù)標(biāo)準(zhǔn)不一致，流量過大DDoS在攻擊情況下，托管機(jī)房不能提供相應(yīng)的保護(hù)能力，必須保護(hù)其服務(wù)免受影響“黑洞”概念產(chǎn)生。黑洞是指服務(wù)器攻擊流量超過IDC機(jī)房黑洞閾值時(shí)，IDC機(jī)房將屏蔽服務(wù)器的外網(wǎng)訪問，避免持續(xù)攻擊，影響整個(gè)機(jī)房的穩(wěn)定性。

在這種情況下，DDoS高防IP通過建立各種大帶寬機(jī)房，提供全套服務(wù)DDoS解決方案，將流量轉(zhuǎn)移到DDoS高防IP進(jìn)行保護(hù)，然后將清潔后的清潔流量轉(zhuǎn)發(fā)回用戶真正的源站。這樣，機(jī)房資源將被重用，專業(yè)機(jī)房將做專業(yè)的事情。DDoS以保護(hù)的復(fù)雜性SaaS提供化學(xué)方式DDoS清洗服務(wù)。

硬件防火墻

大型集群服務(wù)器

由此可見，云時(shí)代DDoS高防IP既能滿足大寬帶的剛性需求，又具有隱藏源站、靈活更換清潔服務(wù)商的優(yōu)點(diǎn)。

DDoS高防IP關(guān)鍵組成系統(tǒng)

1.帶寬&網(wǎng)絡(luò)

帶寬&網(wǎng)絡(luò)是DDoS保護(hù)的第一要求是擁有高帶寬的機(jī)房。目前，國內(nèi)主流機(jī)房主要包括電信單線機(jī)房、聯(lián)通單線機(jī)房、移動(dòng)單線機(jī)房和BGP多線機(jī)房。

單線機(jī)房和BGP多線機(jī)房的特點(diǎn)和區(qū)別是什么？

另一個(gè)維度是帶寬上限，目前在中國DDoS高防IP來說，300Gbps的防護(hù)能力都是入門級(jí)別的，1Tbps越來越多的用戶選擇保護(hù)能力甚至無限抗解決方案。

2.大流量清洗集群

這是另一項(xiàng)關(guān)鍵技術(shù)。DDoS清洗的核心部分是攔截攻擊流。一般攻擊類型和對抗系統(tǒng)如下：

(1)攻擊防護(hù):在帶寬資源充足的情況下，如何處理？DDoS下一步需要考慮攻擊流量清洗。一般來說，專業(yè)DDoS清洗防護(hù)設(shè)備的主要防護(hù)方法包括：畸形包、特定協(xié)議丟棄、源反彈認(rèn)證體系、限速統(tǒng)計(jì)&行為識(shí)別。一般有攻擊類型SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等。

丟棄畸形包和特定協(xié)議很簡單，即不符合要求RFC協(xié)議規(guī)范的報(bào)紙和反射攻擊可以通過指定紙和反射攻擊。

針對源反彈認(rèn)證synflood的防護(hù)方法，一般采用反向驗(yàn)證的防護(hù)方法，如syncookie，也就是說，清證服務(wù)端訪問源的真實(shí)性，方法是TCP三次握手，回復(fù)synack報(bào)文時(shí)，使用特殊算法生成SequenceNumber，考慮到對方的算法IP、端口、己方IP、端口的固定信息和其他信息ack報(bào)文時(shí)確認(rèn)。假如是真正的訪問者，放行流量。如果是真正的訪問者，放行流量。同樣，復(fù)雜CC攻擊可以通過反彈圖像驗(yàn)證碼來驗(yàn)證攻擊者是否是真實(shí)客戶。

統(tǒng)計(jì)限速&在這里，行為識(shí)別將整合各種黑白名單，用戶訪問速度和行為，以保護(hù)速度控制。

(2)集群結(jié)構(gòu):目前DDoS在防護(hù)趨勢下，防護(hù)必須具有彈性擴(kuò)容能力，才能跟上進(jìn)攻防御的趨勢。此外，這里還將提到1000G口的普及。一般來說，流量的負(fù)載平衡是根據(jù)五元組的特點(diǎn)hash如果單口帶寬相對較小(10Gor40G)，那么一旦攻擊流量的五元組hash不均勻，他們有更大的機(jī)會(huì)擁堵，流量根本不會(huì)送到清潔設(shè)備發(fā)動(dòng)機(jī)。這也是大集群清洗系統(tǒng)的重要組成部分。

(3)操作系統(tǒng):DDoS對抗操作也是一個(gè)非常關(guān)鍵的環(huán)節(jié)，需要多年的實(shí)時(shí)對抗經(jīng)驗(yàn)?？焖俜治龊蜎Q策是解決問題的關(guān)鍵部分。

3.負(fù)載均衡設(shè)備&安全組件

負(fù)載均衡技術(shù)是代理高防的關(guān)鍵技術(shù)，包括4層負(fù)載均衡和7層負(fù)載均衡。

四層負(fù)載平衡技術(shù)為每個(gè)客戶業(yè)務(wù)提供獨(dú)家享受IP，本身的轉(zhuǎn)發(fā)能力應(yīng)具有高性能、高可用性和安全防護(hù)能力，能夠?qū)惯B接攻擊。

7層負(fù)載平衡技術(shù)是針對網(wǎng)站業(yè)務(wù)的代理和保護(hù)HTTP/HTTPS各種協(xié)議的支持CC攻擊保護(hù)將集成在7層負(fù)載均衡系統(tǒng)中。

深入開發(fā)4層和7層的安全功能，配合上下游，各取所長，配合大流量清洗集群，達(dá)到極致保護(hù)。

4.實(shí)時(shí)數(shù)據(jù)分析系統(tǒng)

(1)流量分析

首先是數(shù)據(jù)源。數(shù)據(jù)源機(jī)制有很多種。我們熟悉使用它NetFlow采樣分析攻擊檢測也可以通過1:1分光分流獲得所有流量統(tǒng)計(jì)檢測。顯然，1:1分光需要更高的資源和更高效的數(shù)據(jù)分析系統(tǒng)，需要研發(fā)能力和技術(shù)支持，也會(huì)取得更好的效果。

(2)應(yīng)用識(shí)別

在獲得原始報(bào)紙和數(shù)據(jù)后，我們需要做的是區(qū)分應(yīng)用程序。應(yīng)用程序的區(qū)別可以是IP等級(jí)，可以IP 端口級(jí)別，也可以是域名級(jí)別等。不同業(yè)務(wù)的防御方法不同，需要根據(jù)業(yè)務(wù)特點(diǎn)制定專業(yè)的防御方案。

(3)攻擊分析

目前DDoS攻擊分析擺脫了以往的統(tǒng)計(jì)分析算法，引入了行為識(shí)別和機(jī)器學(xué)習(xí)的理論和實(shí)踐，幫助我們更好地保護(hù)攻擊。我們還應(yīng)該注意如何有效地將這些算法實(shí)時(shí)應(yīng)用于用戶的防御對抗。

綜上來看，DDoS木桶短板原理存在于攻擊防護(hù)中，任何攻擊防護(hù)點(diǎn)的效果都會(huì)影響整體防御效果。DDoS高防IP具有彈性帶寬、冗余高、可用性高、訪問質(zhì)量好、業(yè)務(wù)接入簡單等特點(diǎn)。同時(shí)，通過DDoS防護(hù)能力的OPENAPI開放用戶自動(dòng)化運(yùn)維系統(tǒng)，實(shí)現(xiàn)安全與業(yè)務(wù)相結(jié)合，更好地幫助業(yè)務(wù)發(fā)展。

騰佑科技DDoS高防ip詳情請戳

游戲、金融、網(wǎng)站等用戶騰佑科技遭受了大流量DDoS在攻擊后導(dǎo)致服務(wù)不可用的情況下，推出DDoS高防ip付費(fèi)增值服務(wù)，用戶可以配置高防御服務(wù)IP，將ddos將攻擊流引流到高防IP，確保源站穩(wěn)定可靠！詳細(xì)詢問在線客服！