关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

T级别攻击已经成为常态,云厂商到底是怎么抵御DDoS的?

发布时间:2021-11-01 10:28:33

随着互联网的发展,DDoS攻击流量峰值越来越高,从1G到10G,从10G再到100G。

2017年,360安全团队检测到一场流量规模史无前例的DDoS攻击,致使全球多个云服务器崩溃,该攻击最高流量接近1.4T。DDoS攻击正式迈入T级时代。

虽然这次检测T级流量没有得到广泛认可,但在2018年初,GitHub遭受峰值达1.35TB/秒新闻上了热搜,不到一周时间,又传出黑客以每秒1.7Tbps流量企图攻击某实体系统。2020年,亚马逊宣布成功抵御2.3T峰值的攻击流量,再次刷新历史记录。人们这才意识到,T级别DDoS攻击离我们越来越近了。

DDoS防御历史

DDoS作为一种古老的攻击方式,其防御方式也经历了几个阶段。

内核优化时代

互联网蛮荒时代,带宽很小,大部分用户通过56K的modem拨号上网,当时虽然没有类似DDoS云清洗服务还抵御DDoS攻击,但黑客所能利用的带宽量也小。

对于防御方而言,只需通过优化内核参数、iptables就能解决DDoS攻击。DDoS频发的行业,还可以通过编写内核防护模块来提升抗D能力。

硬件防火墙时代

Anti-DDoS硬件防火墙成为这个时代的主流抗DDoS产品。

Anti-DDoS硬件防火墙对功耗、转发芯片、操作系统等各个部分进行优化,以达到防御DDoS的目的。Anti-DDoS硬件防火墙可以抗住100GBPS甚至更高的DDoS攻击,对主流的攻击方式,例如SYN-FLOOD、CC攻击、DNS-FLOOD等都有较强的防御能力。

但是这种方式成本相当高, 攻击者虽然不能瘫痪服务器,但防御方往往也会付出很大的成本代价。

DDoS云清洗时代

云计算时代,抗D有了更好的方案。当检测到异常流量,或者超出IDC机房的流量阈值时,先将流量转到云平台进行清洗,然后再将干净的流量转发回用户真正的源站,这样一来DDoS防护复杂度被简化,成本也下降了不少。

那么,DDoS云清洗到底是怎么抵御DDoS攻击的呢?:

防御方式

带宽

理论上,只要带宽足够大,任何DDoS都无法影响业务的正常运行。对于国内DDoS情况来说,300Gbps的防护能力是入门级别的,一些云服务提供商还会提供1Tbps以上的防护能力。

大流量清洗集群

DDoS云清洗的一项关键技术是如何将攻击流量拦截下来,攻击防护、集群架构、运营体系、负载均衡及数据分析系统是五种主要手段。

(1) 攻击防护

绝大多数专业的DDoS清洗设备的防护方法有:畸形包、特定协议丢弃、源反弹认证体系、统计限速、行为识别等,对主流的DDoS攻击方式均有效果。

(2) 集群架构

DDoS云清洗必须采用集群架构,拥有弹性扩容的能力。

(3) 运营体系

完善的运营体系,是对抗DDoS攻击最重要的环节。云服务厂商需要经过多年与DDoS对抗的经验积累,同时还能最快速度发现新型攻击,快速分析和找到解决办法。

(4) 负载均衡

负载均衡技术是DDoS云清洗的关键技术,这里面包括4层负载均衡和7层负载均衡。

  • 4层负载均衡技术,为每一个客户业务提供一个独享的IP,本身的转发能力要高性能、高可用性,同时还要具备安全防护能力,能够对抗连接型攻击。

  • 7层负载均衡技术,针对网站类业务的代理和防护,对HTTP/HTTPS协议的支持,各种CC攻击的防护,都会集成在7层负载均衡的系统里面。

(5) 数据分析系统

对流量进行分析、应用识别、攻击分析,DDoS攻击防护都必须做到这些。目前主流的DDoS清洗都已经摆脱了传统的统计分析算法,引入行为识、机器学习等方式,能够更好的帮助客户进行攻击防护。


/template/Home/Zkeys/PC/Static