带你直面当下企业DDoS防护中的两大难题:延时和成本

如今企业在做DDoS防护的时,通常会面临两个问题:接入DDoS防护后的代理模式将攻击流量引导至第三方,不可避免增加延时; 防护能力越强防护成本越高,回源带宽也是一笔很高的成本。

  DDoS攻击一般来说可以分成两大类,一类是协议攻击,一类是流量攻击。所谓协议攻击,最常见的是syn flood攻击,即攻击者通过发送大量的syn包建立大量半开连接,耗尽用户主机的资源,从而导致用户的主机崩溃,不能够正常对外提供服务;流量攻击,就是采用大流量的攻击,占满用户的带宽,使得用户的正常流量被丢弃。举一个比较典型的例子:2018年GitHub遭遇到了史上最严重的一次DDoS攻击,其峰值带宽高达1.35T,这次攻击就是黑客利用了memcached的反射漏洞,发起了一次反射的流量攻击。

  而DDoS防护方式一般来说有两种,第一种DDOS防护方式就是在业务机房边缘去做流量清洗,此时业务机房需要具备足够大的上联带宽,将正常流量和攻击流量全部收进来之后,在业务机房的边缘还需要有一套分析设备和一套清洗设备,分析设备通过对流量的镜像分析,可以分析出哪个IP被攻击了;而清洗设备一旦发现哪个IP被攻击之后,就会发起流量的牵引,将被攻击的IP的所有的流量引入清洗模块;清洗模块根据攻击的特征筛选掉攻击的流量,从而将正常的流量下放至客户的源站。

  第二种方式则是用DDoS防护的专用高防机房,比如说客户的业务需要部署在自己的业务机房内,而将入口放在高防机房中。高防机房通常都有足够大的上联带宽,会对流量进行清洗,从而将正常的流量通过公网回源至用户的源站。

  第一种方式要求业务机房有足够大的上联带宽,同时每个业务机房都必须有足够强大的清洗和分析设备,这个条件对于很多企业来说还是比较苛刻的。而如果采用第二种专门的高防机房的方式,由于它是一种代理的模式,因此不可避免会引入额外的网络延时。此外回源机房也是需要一部分的外网带宽的,这部分成本也是相当大的。

总的来说,企业根据可能被攻击的量级来选择合适的DDoS防护方式才是最好的选择。因为一个高防防护的IP地址,它的延时和它的DDoS防护能力,是鱼和熊掌不可兼得的。防护等级越高,一般来说,延时会有一些比较明显的影响。

本文转自:http://www.heikesz.com/ddos1/2080.html

(0)

相关推荐