旁路部署是什么?它是如何解决大型数据中心的DDOS防护问题的?

随着DDoS攻击越来越频繁的威胁到基础业务系统和数据安全,把DDoS防护的需求交给专业的服务提供企业是现在普遍的防护手段。通常大型数据中心都会使用旁路部署技术来应对:抗拒绝服务产品可以不必串联在原有网络中,除了减少故障点,而且由于大多数带宽不必实时通过抗拒绝服务产品,因此一个较小的抗DDoS清洗容量就可以适用于一个大带宽的网络中,有效的降低投入成本。旁路工作原理如下:

· 攻击检测:通过配置镜像接口或Netflow方式 感知到有攻击流量,判断是否有拒绝服务攻击发生。

· 流量牵引:确定发生拒绝服务攻击后,利用路由 交换技术,将原本要去往受害IP的流量牵引至旁路 ADS设备。被牵引的流量为正常流量与攻击流量的混合流量;

· 攻击防护/流量净化:ADS设备通过多层次 的垃圾流量识别与净化功能,将拒绝服务攻击 的流量从混合流量中分离、过滤;

· 流量注入:经过ADS净化之后的正常流量被重新注入回网络,到达目的IP.

采用旁路部署,具有以下优势:仅在IPS等安全设备报警时与之联动,开始自动注入混合流量,平时正常情况下并不工作;设备旁路部署即使ADS出现故障也不会影响网络连通性;多机并用成倍提升清洗能力;支持手动/自动牵引流量,让安全工程师与安全设备互补。

一级运营商管理运营丰富的骨干网带宽资源,对于大流量及超大流量DDoS攻击具有先天性的压制优势,运营商是整个网络的支撑者,所有的攻击流量都必须通过运营商, 如果在运营商层面全面的打击DDOS攻击行为,将能起到一劳永逸的效果,所以运营商应当为用户打造DDOS防护堡垒。

对于运营商而言,保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击,那么所有承载的业务都会瘫痪,这必然导致服务质量的下降甚至失效。同时,在目前竞争激烈的运营商市场,服务质量的下降意味着客户资源的流失,尤其是那些高ARPU值的大客户,会转投其他的运营商,这对于运营商而言是致命的打击。所以,有效的DDoS防护措施对于保证网络服务质量有着重要意义。 另一方面,对运营商或是IDC而言,DDoS防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,这给运营商带来了新的利益增长点,也增强了其行业竞争能力。

目前大部分的DDOS攻击都会使用伪造的IP地址,尤其是反射型的DDOS攻击,如果不使用伪造的IP将无法攻击,如果运营商在全网开启源IP的校验,是不伪造的IP无法进入互联网则可以从源头上制止DDOS攻击。另外,使用溯源技术:因为在全网开展源地址验证可能会难度很大,但是防DDOS的关键又在源地址上,所以应该使用各种溯源技术,在攻击发生时迅速找到攻击源,取证并切断攻击源的网络,使攻击止于源头。

对于普通用户的网络接入,应尽量给与私网IP地址,然后通过NAT多个用户公用同一IP,这样第一节省了IP地址,第二,普通用户发出的各种报文的源地址都会被NAT替换成真实的地址,防止源地址伪造。第三,也有利于普通用户的安全,这相当于多了一道防火墙,能够阻挡大部分来自公网的主动连接,比如扫描等行为。或者把ip报文头中未实际使用的部分,比如八位的QOS标志、IP选项字段,加入对来源标识功能,每个接入层的路由交换设备带有不同的标致,可以通过报文携带的不同标志找到它的大体发送源。

运营商一定要高度重视自身网络设备的安全性,不要让网络设备成为反射放大器甚至被黑客控制,因为运营商在网络中起到至关重要的作用,如果黑客远程关闭一台核心交换机将比任何DDOS攻击危害更大效果更明显。在各地区建立流量清洗站,清洗DDOS流量,并且为企业提供清洗服务,将DDOS流量转入清洗站清洗,如遇特大型DDOS攻击时,可以共同分担清洗任务。总之,云计算公司有很大的计算能力,运营商有很大的带宽资源,强强联合能极大提升抗DDOS能力。

在攻击中,DDOS防护方和攻击方就像两名棋局上的棋手,见招拆招,根据对方的改变而改变自己的攻击/防御方法,仅仅通过一种方式就打瘫一个目标是很难实现的,仅仅靠ADS设备去自动的防御所有攻击是不现实的,不论实在攻击还是防御中,人都应该处在主导地位,通过安全人员的专业知识与经验,合理的使用和配置防御设备才能更好的防御住来自于各方的各种DDOS攻击。

本文转自:http://www.heikesz.com/ddos1/2783.html

(0)

相关推荐

  • 高防IP可以防御CC攻击吗?高防IP有什么优势?

    高防IP可以防御CC攻击吗?高防IP是可以防御CC攻击的.在网站运营过程中,我们都会遇见各种各样的恶意攻击,网络攻击不仅百害而无一利,而且损失也很严重.其中网络攻击中要属DDOS.CC等攻击最为知名, ...

  • 你所不知道的CC防护方式,确定不要学习一下吗?

    如何对网站进行CC防护呢?在网站业务上遇到攻击的种类中,除了DDOS攻击外比较常见的就是CC攻击了,CC攻击主要是用来攻击页面的一种攻击类型,攻击者借助代理服务器去生成请求命令发向受害者主机.以伪装正 ...

  • 防御DDoS措施抓住这一要点,让你从此不再为DDoS头疼

    就目前防御DDoS的方式来说,主要是两个方面,小流量攻击可以在企业本地进行设备防护,大流量攻击可以交给运营商及云端清洗.这个分界点根据行业及业务特性的不同会有所差异,大概的量级应该在百兆BPS左右. ...

  • 一起来看看你的网站是否需要高防CDN

    DDoS流量攻击来势汹汹,好像子弹怎么都发射不完,但高防CDN的针对性保护策略也随之崛起,拦截清洗.后端隐藏.网站提速.实时监控等一系列防御操作,让DDoS流量攻击土崩瓦解,为网站保驾护航. 什么是高 ...

  • 「短小精悍」4步教你学会如何DDOS攻击与防护

    前言: DDOS即分布式拒绝服务攻击,攻击者利用不同位置的大量"肉鸡"对目标发动大量的正常或非正常请求,耗尽目标主机资源和网络资源,使被攻击的主机不能正常为合法用户提供服务. DD ...

  • CC防护无从下手?这些点有多重要你知道吗

    在将来的互联网飞速发展的时代,想彻底做到CC防护不失误是几乎不可能的,就好比治疗感冒一样,我们可以治疗,也可以预防,但却无法根治,但我们若采取积极有效的防御方法,则可在很大程度上降低或减缓生病的机率, ...

  • 还认为防御DDoS是在花冤枉钱?今天带你了解其成本所在之处

    面对越来越复杂的网络安全环境,防御DDoS对企业的重要性已经不言而喻了.但是由于现在发起DDoS攻击越来越简单,攻击工具越来越智能化,单纯的通过服务器架构优化等常规手段,已经无法保障企业网络安全. 往 ...

  • DDoS高防云服务器如何防御攻击

    互联网的发展促进全球互联互通.但任何新事物都可能被灰色产业利用.互联网带来便利的同时也让世界处于危险之中.目前,互联网世界面临的最大的危险之一就是DDoS攻击.分布式拒绝服务(DDoS)攻击是一种恶意 ...

  • 高防CDN在防御DDoS攻击中必不可少?简析高防CDN针对防御DDoS攻击的可行方案

    人们在享受着由网络带来的便利时也承担着巨大风险,面对DDoS攻击不断挑衅,高防CDN也不甘示弱,持续网站防御DDoS攻击,为营造良好的网络环境而一直奋斗. DDoS 的危害 DDoS(Distribu ...

  • 防护ddos无从下手?了解ddos原理轻松应对危机

    近几年,大规模的DDoS攻击事件在全球范围内发生了很多次,再次造成了轰动,如何防护DDoS由此也引起了大众的重点关注.虽然很多互联网企业都建立了一定的本地DDoS防御措施及运营商级的DDoS监测清洗服 ...

  • 盘点各个防御DDoS攻击的手段,对比高防CDN和传统CDN的差别

    普遍防御DDoS攻击手段的能力始终是有限的,但是高防CDN不一样,高防CDN可以全方位的进行有效防御,即便是新型攻击也能做到预判和查杀.下面我们就来了解了解普遍的防护手段和高防CDN在防御DDoS上的 ...

  • 在防护DDoS时会遇到哪些问题,该怎样解决?

    有效防护DDoS攻击是众多"出海"企业必须关注的问题.近年来,随着国内互联网市场巨头垄断下的流量竞争愈演愈激烈,越来越多的企业被迫"出海",尤其是电商和游戏行业 ...

  • 采用了一系列防护DDoS措施却没有效果?这两点你注意了吗?

    之所以说防护DDoS刻不容缓,是因为DDoS攻击是一种野蛮的网络攻击方式,它十分简单直接而且初级!网络攻击无小事,一个看似不起眼的攻击就可能会造成百万的经济损失和客户的流失. 诸如DDoS拒绝服务攻击 ...

  • 面对DDoS不断进化,何种防护DDoS机制能助你脱离苦海呢?

    DDoS攻击不断变化演进,面对此种态势,企业又该如何开展积极有效地防护DDoS部署呢?DDoS(分布式拒绝服务)攻击由来已久,但如此简单粗暴的攻击手法为何时至今日依然有效,并成为困扰各大网站稳定运营的 ...