如何有效防御ddos攻击.docx
《如何有效防御ddos攻击.docx》由会员分享,可在线阅读,更多相关《如何有效防御ddos攻击.docx(12页珍藏版)》请在冰豆网上搜索。
如何有效防御ddos攻击
DDoS之所以越来越难防御,主要是源于它名称包含的一个内在特性:
分布式。
DDoS攻击可以针对一个目标在多个位置的多个系统资源,让这些目标系统完全被击垮。
一旦企业理解了DDoS的攻击方式,他们就必须决定如何应付这种攻击,这是现在几乎不可避免的状况。
那么如何有效防御ddos攻击?
如何有效防御ddos攻击:
安全管理员应该先了解他们组织的互联网连接。
正如前提所提到的,一般组织的平均连接带宽为10Gbps,所以管理员一定要谨慎处理,保证他们至少要让自己的产品服务使用其中大部分的可用吞吐量。
此外,安全人员还一定将安全需求报告给更高一级的管理人员。
即使资源很紧张,也要定期向他们报告前面提到的统计信息,让他们知道现DDoS攻击的普遍性和潜在危害,这是百利而无一害的做法。
此外,无论网络管理员是否遇到过攻击,他们都应该部署一些防御机制,检查所有到达的DNS响应。
如果到达的一系列请求以前在本地服务器上从未记录过,那么要丢弃这些数据包,而不要向外部DNS服务器发送不必要的响应,从而避免加重问题。
铱迅“云”DDoS防护体系英文:
YxlinkCloudAnti-DDoSSystem,简称:
YxlinkCloudADS)是铱迅信息在结合了多年DDoS防护实践和产品研发的基础上,针对现有DDoS防护方式的缺陷,提出的全新DDoS防护体系(ADS3.0体系),在综合本地防护和云端防护的优点的同时,通过端口监听的方式,对TCP、UDP端口进行监听与转发,有效的解决了传统云清洗不能解决的问题,也无需在云端加载任何证书,数据安全性也得到了很好的保障。
任何需要通过网络提供服务的客户,不论是处于经济原因还是其他方面,都希望对DDoS攻击进行防范,保护其基础业务系统(包括Web、DNS、Mail、交换机、路由器或是防火墙)免受DDoS攻击的侵害,保证其业务系统运行的连续性。
政府机关、企事业单位、通讯媒体、金融行业、网游、互联网门户企业,对DDoS防范服务都有迫切的需求,市场发展潜力巨大。
结合运营商网络高覆盖率、高带宽的优势,通过在运营商上部署专业的电信级抗DDoS设备,及时发现背景流量中各种类型的攻击流量,迅速对攻击流量进行牵引或清洗,保证正常流量的通过。
在运营商部署DDoS防范策略,不仅能够避免用户侧单点故障的发生,同时也能保证运营商的整体性能和可靠性。
针对目前存在的风险和威胁,同时由于用户出口的带宽限制,如果只在出口处部署防护设备反而不会起到有效的防护作用,而处于网站链路上行的网络主干网节点作为网站访问的必经之路并且带宽足够大,我建议将整个网站防线扩展到整个网络的主干网节点,而不是在用户的互联网出口处采取防御措施,以此形成一个分布式的云防御体系,将攻击源直接屏蔽在主干网节点的核心网络之外,从而可以更有效地提高网站的安全性,避免网站承受大量的攻击压力,同时通过CDN和动态链路分配等技术手段对网站访问进行加速,实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向到最快的服务节点上,以此来应对用户网站所可能面临的突发大流量。
铱迅“云”DDoS防护体系具备:
1.云端DDoS清洗能力:
云端1000G+的DDoS清洗能力,完美防御SYNFlood、ACKFlood、ICMPFlood、UDP
Flood、NTPFlood、SSDPFlood、DNSFlood、HTTPFlood、CC攻击;
2.应用层CC防护:
采用JS判断、鼠标移动人机识别、验证码等多种手段精确区分恶意访问和真实访问者,
针对网站CC攻击均可有效防御;
3.HTTPS防御:
支持对于HTTPS的SSL加密网站进行防护;
4.服务端、游戏防御:
支持对于采用开启TCP、UDP端口的服务端、游戏等进行分布式防御;
以下对铱迅“云”DDoS防护体系的两种部署方式进行说明。
全云端部署
近几年来,以铱迅通过云计算架构为代表的抗DDoS解决方案领导业界:
铱迅将带宽、防御设备、服务器等防御资源分布式部署,统一管理,建设成专业的抗DDoS云清洗系统。
实现的关键在于DNS,用户需要预先将网站的DNS记录的详细配置及DNS解析权限交由铱迅云ADS,由铱迅负责对访问请求进行解析,这样一来铱迅抗DDoS云清洗便可利用DNS解析来对资源进行调度,从而可以指定具体的资源来帮助防御。
当某一网站遭受攻击,只需在铱迅抗DDoS云清洗服务服务提供的管理界面进行一些操作,即可将攻击流量引导至多个抗DDoS节点去进行清洗,而后将正常的访问请求筛选出来返回给网站进行处理。
整体技术方案如下:
1.在骨干网的主要节点处部署抗DDoS云清洗节点,在各节点提供DDoS攻击防护。
2.所有访问通过DNS解析指向抗DDoS云清洗系统,经过防护节点检测并清洗数据流中的攻击行为后,再
将合法的安全的访问数据送回原始网络。
3.抗DDoS云清洗系统除了提供防护功能外,还提供了云管理平台和自助服务平台,来对各节点防护系统
进行流量监控与管理,同时为用户提供自助式的服务和在线帮助。
4.云管理平台和自助服务平台可以部署在各云节点处,进行资源同步,分布式管理与提供服务。
云端+本地部署
用户本地增加一台铱迅抗DDoS系统,对低于本地网络出口带宽的DDoS攻击进行防护,若攻击流量大于出口带宽,即把流量牵引至抗DDoS云清洗系统。
抗DDoS云清洗系统还有一个额外的好处,可以隐藏自己网站服务器的真实IP地址,给黑客们造成假象,误以为抗DDoS中心的IP就是服务器IP,从而可以避免黑客实施针对IP地址的攻击,也可以降低一些其他的安全风险。
铱迅DDOS“云”清洗防护体系(http:
//www.anti.cc),是铱迅信息结合多年在应用安全理论与应急响应实践经验积累的基础上。
在提供本地DDoS实时深度防御的同时,结合“云”端清洗服务,对各类攻击的防护覆盖全面。
同时能实现本地与“云”端系统的智能联动,有效提升防护效率。
抗CC攻击
与传统的抗DDOS解决方案对比,铱迅“云”DDoS防护体系是针对互联网服务器在遭受大流量的DDoS(如Httpgetflood(packetsimulate),Httpstressflood,传奇漏洞、传奇假人、蓝天语音等,BGPAttacks)攻击后导致服务不可用的情况下,推出的全新解决方案。
铱迅“云”DDoS防护体系采用JS判断、鼠标移动人机识别、验证码等多种手段精确区分恶意访问和真实访问者;在此过程中,铱迅“云”DDoS防护体系就能做出接近人类的处理或者判断,精准判断攻击者和正常访问者,针对网站CC攻击均可有效防御。
HTTPS完美防护
云端的HTTPS的DDOS防护是一件门槛极高的事情,它需要投入巨大的资源,不仅是人力、财力等方面,而且对技术能力也提出了极为苛刻的要求。
在常见的解决方案中,用户需要将私钥托管至云服务商,由云服务商完成数据解密才能进行DDOS防护。
铱迅的解决方案不需要托管用户私钥,在综合本地防护和云端防护的优点的同时,通过端口监听的方式,对TCP、UDP端口进行监听与转发,有效的解决了传统云清洗不能解决的问题,也无需在云端加载任何证书,数据安全性也得到了很好的保障
网络游戏防御
针对客户端游戏,如大国、魔侠传、远征、龙武2、仙语传奇、奇迹等热门游戏的DDOS攻击。
在综合本地防护和云端防护的优点的同时,通过端口监听的方式,全面支持单域名、多域名和泛域名,尽管费用较为昂贵,但保证最好的DDOS防护。
性能优势
铱迅“云”DDoS防护体系在全国各地有50多个高防高性能云中心,可抗击1000G的DDOS攻击,云中心覆盖在南京、北京、青岛、济南、上海、沈阳、广州、西安等地,并计划开通香港、新加坡、美国硅谷、俄罗斯、日本等地的云中心防护。
铱迅“云”DDoS防护体系共享1000G带宽,覆盖中国电信、中国移动、中国联通、教育网等内的9家营利性和数十个跨省经营的ISP。
铱迅“云”DDoS防护体系由100多台台硬件抗DDOS系统,原厂100余人专业团队在后台7x24小时进行运维,免除客户的维护之忧,由铱迅安全专家团队协助用户对网站安全隐患和遭受的攻击威胁进行全天候监控,从事前检测预防、事中响应防护、事后持续监控的角度,最大限度降低DDoS安全风险,同时帮助用户从繁重的日常安全维护工作中解脱出来,让用户能够专注于自身核心业务的发展。
铱迅“云”DDoS防护体系是通过对安全的大数据(包括威胁情报)的广泛的收集和分析(机器学习),并将人类思维与机器自动化相结合,可以准确、全面、快速、检测安全攻击。
全互联网的安全感知
铱迅通过云中心平台,解决了传统抗DDOS数据往往只是单点防御且数据分析来源单一,无法进行联动处置的顽疾,通过后台大数据系统的关联,挖掘其中有机制的智库和情报,预测和防御即将或者已经在发生的安全事件。
铱迅云中心平台根据各DNS节点、防护子节点的网络流量、各节点的连接状况、负载状况和负载状况以及到用户的距离和响应时间等综合信息将信息进行整合分析,可以从整个互联网的海量信息中梳理出用户关注的IP地址、源IP、攻击方式、攻击区域、源区域等信息,全面、快速、准确的感知过去、现在、未来的DDOS攻击,实现用户看清楚自己和世界的能力。
强大的全互联网流量牵引
铱迅“云”DDoS防护体系在全国各地有50多个高防高性能云中心,通过各地的云中心,利用铱迅的DNS分流平台,将DNS请求分布到全网各节点,以达到负载均衡的目的,提高DNS解析的速度,避免了一处或几处DNS解析请求量过高造成访问延时。
每处节点的DNS内存缓存平台,可以将DNS服务器解析的请求数据缓存在本地,当有同样的DNS请求时,缓存平台自动将最快的DNS解析返回给用户,大大减轻了DNS服务器处理的负担。
同时,通过DNS内存缓存平台内置的抗拒绝防护模块,当有攻击者对DNS发起DDoS攻击时,可以立即起到流量清洗的作用。
三重防护机制
端口监听与转发
通过独创的端口监听技术,无论是TCP、UDP攻击,还是应用层的Http、Https攻击都能全面防护,同时Https还无需在防护端加载SSL证书,保障了用户数据的安全性。
海量带宽
针对用户网站所可能面临的DDoS流量,我们将防线扩展到运营商机房,利用运营商机房高带宽、高性能的特点,形成一个分布式的云防御体系,将DDoS攻击源直接屏蔽在运营商骨干网之外,从而可以更有效地提高网站的安全性,避免网站承受大量的攻击压力,同时通过CDN和动态链路分配等技术手段对网站访问进行加速,实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向到最快的服务节点上,以此来应对用户网站所可能面临的突发大流量。
近源防护
根据云节点的扩展,清洗流量也可以随之扩展,并可区分攻击来向的流量压制,防护能力上不封顶。
精准攻击防护
针对交易类、加密类、七层应用、智能终端、在线业务攻击精准防护。
安全性更高
云防护平台为源站的前置,可对用户站点进行更换并隐藏,使攻击者无法找到受害者网络资源。
每个用户都有自己专用的一套防护体系,相互独立,安全性最高,避免了用户之间的相互攻击。
部署快捷、用户自助
用户可以根据需求和自身状况对三重防护自主选择、组合。
按需购买服务,无需投入大量资金建设专业安全运营团队。
用户端零部署、零维护。
合规性建设
以国家的相关政策和法规为依据而建设。
云抗DD
升级会员 