8590 
2023-11-13 11:00:01 DDos拒絕服務(wù)攻擊是通過各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)CPU、內(nèi)存、連接數(shù)等資源,從而導(dǎo)致拒絕服務(wù)。抵御ddos攻擊的主要技術(shù)是什么?及時(shí)做好防御ddos攻擊的措施,才能避免遭到ddos攻擊。
抵御ddos攻擊的主要技術(shù)是什么?
1. 本地DDos防護(hù)設(shè)備
一般惡意組織發(fā)起DDos攻擊時(shí),率先感知并起作用的一般為本地?cái)?shù)據(jù)中心內(nèi)的DDos防護(hù)設(shè)備,金融機(jī)構(gòu)本地防護(hù)設(shè)備較多采用旁路鏡像部署方式。
本地DDos防護(hù)設(shè)備一般分為DDos檢測(cè)設(shè)備、清洗設(shè)備和管理中心。首先,DDos檢測(cè)設(shè)備日常通過流量基線自學(xué)習(xí)方式,按各種和防御有關(guān)的維度:
比如syn報(bào)文速率、http訪問速率等進(jìn)行統(tǒng)計(jì),形成流量模型基線,從而生成防御閾值。
學(xué)習(xí)結(jié)束后繼續(xù)按基線學(xué)習(xí)的維度做流量統(tǒng)計(jì),并將每一秒鐘的統(tǒng)計(jì)結(jié)果和防御閾值進(jìn)行比較,超過則認(rèn)為有異常,通告管理中心。
由管理中心下發(fā)引流策略到清洗設(shè)備,啟動(dòng)引流清洗。異常流量清洗通過特征、基線、回復(fù)確認(rèn)等各種方式對(duì)攻擊流量進(jìn)行識(shí)別、清洗。
經(jīng)過異常流量清洗之后,為防止流量再次引流至DDos清洗設(shè)備,可通過在出口設(shè)備回注接口上使用策略路由強(qiáng)制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò),訪問目標(biāo)系統(tǒng)。
2. 運(yùn)營(yíng)商清洗服務(wù)
當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDos清洗設(shè)備性能不足以應(yīng)對(duì)DDos流量攻擊時(shí),需要通過運(yùn)營(yíng)商清洗服務(wù)或借助運(yùn)營(yíng)商臨時(shí)增加帶寬來完成攻擊流量的清洗。
運(yùn)營(yíng)商通過各級(jí)DDos防護(hù)設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實(shí)踐證明,運(yùn)營(yíng)商清洗服務(wù)在應(yīng)對(duì)流量型DDos攻擊時(shí)較為有效。
3. 云清洗服務(wù)
當(dāng)運(yùn)營(yíng)商DDos流量清洗不能實(shí)現(xiàn)既定效果的情況下,可以考慮緊急啟用運(yùn)營(yíng)商云清洗服務(wù)來進(jìn)行最后的對(duì)決。
依托運(yùn)營(yíng)商骨干網(wǎng)分布式部署的異常流量清洗中心,實(shí)現(xiàn)分布式近源清洗技術(shù),在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉,提升攻擊對(duì)抗能力。
具備適用場(chǎng)景的可以考慮利用CNAME或域名方式,將源站解析到安全廠商云端域名,實(shí)現(xiàn)引流、清洗、回注,提升抗D能力。進(jìn)行這類清洗需要較大的流量路徑改動(dòng),牽涉面較大,一般不建議作為日常常規(guī)防御手段。
以上就是關(guān)于抵御ddos攻擊的主要技術(shù)是什么的詳細(xì)解答,通過采用流量過濾和防火墻技術(shù)、負(fù)載均衡、反向代理服務(wù)器等辦法還是有效控制住ddos攻擊,但是想要做到百分百的防御目前還是比較難的。
