企业需要在防御DDoS时考虑的重点难题,你引起重视了吗?
如今企业在防御DDoS攻击的时候,通常会面临两个问题:接入DDoS防护服务后的代理模式将攻击流量引导至第三方,不可避免增加延时;防护能力越强防护成本越高,回源带宽也是一笔很高的成本。
从技术角度来讲,DDoS攻击不是一种攻击,而是一大类攻击的总称,它有几十种类型及变种,而且新的攻击方法还在不断被发明出来,像病毒一样会发生变异。对于不同种类的攻击,一般服务器采用的防御措施也不尽相同。因此,多种类及变种的DDoS攻击,加大了人们防御DDoS的难度。
DDoS攻击一般来说可以分成两大类,一类是协议攻击,一类是流量攻击。所谓协议攻击,最常见的是syn flood攻击,即攻击者通过发送大量的syn包建立大量半开连接,耗尽用户主机的资源,从而导致用户的主机崩溃,不能够正常对外提供服务;流量攻击,就是采用大流量的攻击,占满用户的带宽,使得用户的正常流量被丢弃。举一个比较典型的例子:2018年GitHub遭遇到了史上最严重的一次DDoS攻击,其峰值带宽高达1.35T,这次攻击就是黑客利用了memcached的反射漏洞,发起了一次反射的流量攻击。
而防御DDoS的方式一般来说有以下两种。第一种就是在业务机房边缘去做流量清洗,此时业务机房需要具备足够大的上联带宽,将正常流量和攻击流量全部收进来之后,在业务机房的边缘还需要有一套分析设备和一套清洗设备,分析设备通过对流量的镜像分析,可以分析出哪个IP被攻击了;而清洗设备一旦发现哪个IP被攻击之后,就会发起流量的牵引,将被攻击的IP的所有的流量引入清洗模块;清洗模块根据攻击的特征筛选掉攻击的流量,从而将正常的流量下放至客户的源站。
第二种方式则是用防御DDoS专用的高防机房,比如说客户的业务需要部署在自己的业务机房内,而将入口放在高防机房中。高防机房通常都有足够大的上联带宽,会对流量进行清洗,从而将正常的流量通过公网回源至用户的源站。
第一种方式要求业务机房有足够大的上联带宽,同时每个业务机房都必须有足够强大的清洗和分析设备,这个条件对于很多企业来说还是比较苛刻的。而如果采用第二种专门的高防机房的方式,由于它是一种代理的模式,因此不可避免会引入额外的网络延时。此外回源机房也是需要一部分的外网带宽的,这部分成本也是相当大的。
总的来说,企业根据可能被攻击的量级来选择合适的防御DDoS的措施才是最好的。因为一个高防防护的IP地址,它的延时和它防护的DDoS能力,就像鱼和熊掌是不可兼得的。防护等级越高,一般来说,延时会有一些比较明显的影响。
本文来自:https://www.zhuanqq.com/News/Industry/355.html