T级攻击态势下解析DDOS高防IP系统架构

自媒体 自媒体

听说世界上只有百分之3的人关注Jayson,很幸运你是其中一位

[本文来自:www.777y.com]

DDoS防御发展史 [原创文章:www.777y.com]

DDoS(Distributed Denial of Service,分布式拒绝服务)主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御的网络攻击之一。

T级攻击态势下解析DDOS高防IP系统架构

DDoS作为一种古老的攻击方式,其防御方式也经历了多个发展阶段:

1. 内核优化时代

在早期时代,没有专业的防护清洗设备来进行DDoS防御,当时互联网的带宽也比较小,很多人都是在用56K的modem拨号上网,攻击者可以利用的带宽也相对比较小,对于防御者来说,一般通过内核参数优化、iptables就能基本解决攻击,有内核开发能力的人还可以通过写内核防护模块来提升防护能力。

在这个时期,利用Linux本身提供的功能就可以基本防御DDoS攻击。比如针对SYN FLOOD攻击,调整net.ipv4.tcp_max_syn_backlog参数控制半连接队列上限,避免连接被打满,调整net.ipv4.tcp_tw_recycle,net.ipv4.tcp_fin_timeout来控制tcp状态保持在TIME-WAIT,FIN-WAIT-2的连接个数;针对ICMP FLOOD攻击,控制IPTABLES来关闭和限制ping报文的速率,也可以过滤掉不符合RFC协议规范的畸形报文。但是这种方式只是在优化单台服务器,随着攻击资源和力度的逐渐增强,这种防护方式就显得力不从心了。

2. 专业anti-DDoS硬件防火墙

专业anti-DDoS硬件防火墙对功耗、转发芯片、操作系统等各个部分都进行了优化,用来满足DDoS流量清洗的诉求。 一般IDC服务提供商会购买anti-DDoS硬件防火墙,部署在机房入口处为整个机房提供清洗服务,这些清洗盒子的性能从单台百兆的性能,逐步发展到1Gbps、10Gbps、20Gbps、100Gbps或者更高,所提供的清洗功能也基本涵盖了3-7层的各种攻击(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等)。

这种方式对IDC服务商来讲有相当高的成本,每个机房入口都需要有清洗设备覆盖,要有专业的运维人员来维护,而且并不是每个IDC机房都可以有同等的清洗防护能力,有的小机房上联可能只有20G带宽,且不具备复用这些清洗设备的能力。

3. 云时代的DDoS高防IP防护方案

在云时代,服务部署在各种云上,或者传统的IDC机房里面,他们提供的DDoS基础清洗服务标准并不一致,在遭受到超大流量DDoS攻击情况下,托管所在的机房并不能提供对应的防护能力,不得已,为了保护他们的服务不受影响,就会有“黑洞”的概念产生。黑洞是指服务器受攻击流量超过IDC机房黑洞阈值时,IDC机房会屏蔽服务器的外网访问,避免攻击持续,影响整体机房的稳定性。

在这种情况下,DDoS高防IP是通过建立各种大带宽的机房,提供整套的DDoS解决方案,将流量转到DDoS高防IP上进行防护,然后再把清洗后的干净流量转发回用户真正的源站。这种方式会复用机房资源,专业机房做专业的事情。简化DDoS防护的复杂度,以SaaS化的方式提供DDoS清洗服务。

T级攻击态势下解析DDOS高防IP系统架构

硬件防火墙

T级攻击态势下解析DDOS高防IP系统架构

大规模集群服务器

由此可以看出,云时代的DDoS高防IP不仅可以满足对大宽带的刚性需求,而且对用户来说具有隐藏源站、可以灵活更换清洗服务商的优势。

DDoS高防IP系统关键组成

1. 带宽&网络

带宽&网络是DDoS防护的第一诉求,首先要做的就是拥有一个高带宽的机房。目前国内主流机房主要为电信单线机房、联通单线机房、移动单线机房和BGP多线机房。

T级攻击态势下解析DDOS高防IP系统架构

单线机房和BGP多线机房的特点以及差别是什么呢?

T级攻击态势下解析DDOS高防IP系统架构

另外一个维度就是带宽上限,目前对于国内DDoS高防IP来说,300Gbps的防护能力都是入门级别的,1Tbps的防护能力乃至无限抗的解决方案越来越多的出现用户的选择中。

2. 大流量清洗集群

这是另外一个关键技术。DDoS清洗的核心部分是将攻击流量拦截下来。一般攻击种类和对抗体系有以下几种:

(1) 攻击防护:在带宽资源足够的条件下,如何对DDoS攻击流量清洗是下一步需要考虑的,一般来说,专业的DDoS清洗防护设备的主要防护方法包括几类:畸形包、特定协议丢弃;源反弹认证体系;统计限速&行为识别。攻击类型一般有SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等等。

畸形包、特定协议丢弃很简单,即对于不符合RFC协议规范的报文、反射类攻击都可以用指定特征的方式进行防护。

源反弹认证是针对syn flood的防护方法,一般采用反向验证的防护方法,如syn cookie,即清洗设备替服务端校验访问源的真实性,方法是在TCP三次握手中,在回复synack报文的时候,使用一种特殊的算法生成Sequence Number,这种算法考虑到了对方的IP、端口、己方IP、端口的固定信息等多种信息,并在ack报文的时候确认。如果是真实访问者,放行流量。同理,复杂的CC攻击可以用反弹一个图片验证码的方式校验攻击者是否为真实客户。

统计限速&行为识别这里就会综合各种黑白名单,用户访问速率、行为,进行一个速率控制的防护。

(2) 集群架构:在目前的DDoS防护趋势下,防护必须有弹性扩容的能力,才可以跟进攻防对抗的趋势。另外这里还会提到100G口的普及。一般来说流量的负载均衡是根据五元组里面的特征进行负载均衡hash的,如果单口的带宽比较小(10G or 40G),那么一旦攻击流量的五元组的hash不均匀,他们有更大的几率会拥塞,流量根本就不会送到清洗设备引擎上去。这个也是大集群清洗体系比较重要的一点。

(3) 运营体系:DDoS对抗运营也是非常关键的一环,需要多年实时对抗的经验积累,在面对一些新型攻击及突发情况时,快速的分析和决策是解决问题的一个关键部分。

3. 负载均衡设备&安全组件

负载均衡技术是代理高防的关键技术,这里面包括4层负载均衡和7层负载均衡。

4层负载均衡技术,为每一个客户业务提供一个独享的IP,,本身的转发能力要高性能、高可用性,同时还要具备安全防护能力,能够对抗连接型攻击。

7层负载均衡技术,针对网站类业务的代理和防护,对HTTP/HTTPS协议的支持,各种CC攻击的防护,都会集成在7层负载均衡的系统里面。

独享IP。优点就是一个业务IP被DDoS攻击,不会影响其他的业务,资源隔离。

自媒体微信号:777y扫描二维码关注公众号
爱八卦,爱爆料。
小编推荐
  1. NO.1 一曲《菩提树下》我等你,听哭了 !

    点击上方 蓝字 免费制作相册 【 点我听情歌 】

  2. NO.2 盘点只有老司机才听过的英雄台词,孙尚香和芈

    上次猫叔收集了一些霸气的英雄台词 受到了老铁们的喜欢 虽然你们没有直说 但是从你们积极的后台留言当中 猫叔 就可以看出来 以后有什么你们想

  3. NO.3 梁志天x隈研吾:携手打造 “竹”餐厅 !【得心设计947期】

    ▲ 点击上方蓝字,关注最前沿设计微刊尊贵热线:400-639-9973设计界大咖梁志天与隈研吾携手打造体现「侘寂」美学的现代日式餐厅。采用古典雅致竹

  4. NO.4 九个字,看懂的都是高人

  5. NO.5 想谈恋爱,又怕被曰。

    一个上了床也不一定会有结果的时代,怎么会有牵了手就是一辈子的爱情呢?房间很容易就开好了,我爱你很容易就说出口了。 大家都表现出一副很

  6. NO.6 《沧海一声笑》的GAI:我就是命硬学不来弯腰!

    本文授权转自:她刊(ID:iiiher) 作者:平民星探柳飘飘 嘻哈歌手GAI曾经在一次访谈中说过: “对,我生在古代,我说实话,我不是一个土匪就是一

  7. NO.7 11 款在淘宝上就能买到的高颜值茶几

    客厅做为整个家庭中最重要的会客区,基础的茶几、沙发、座椅是奠定风格的主要软装。 相比沙发、座椅、挂画等软装,茶几总是很容易被忽略,今

  8. NO.8 《卧虎藏龙贰》携手摩拜单车,在CJ期间玩了一次

    7月27日至30日,第十五届ChinaJoy在上海开幕,阿里游戏首款开放式奇遇武侠手游《卧虎藏龙贰》首次亮相CJ。游戏以CJ为契机,携手摩拜单车进行跨界合

Copyright2018.七云自媒体资讯站,让大家及时掌握各行各业第一手资讯新闻!