作者:云端卫士系统架构师 高鹏
【慧聪通信网】DDoS即分布式拒绝服务攻击,这是一场关乎资源的较量,攻击者通过自己控制的大量僵尸主机,向目标设施(服务器、运营商网络和基础架构等)发起洪水猛兽般的流量型攻击,或是连绵不绝的应用型攻击。
如果将受害者比做一个饭店,那么流量型攻击就如同堵住饭店的门口,导致正常客户无法进去用餐。常见的流量型攻击有UDPFlood,NTPFlood等。对应的应用型攻击就如同一群无赖,绑架了饭店里的服务员或厨师,导致正常客户无法正常用餐。常见的应用型攻击有DNSRequestFlood,CCFlood等。
CC攻击就是应用层DDoS攻击的一种,相比流量型的DDoS攻击,CC攻击的杀伤力更大,防护难度也更大。每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户不停地访问那些需要大量数据操作(如连接数据库)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接,造成网络拥塞,正常的访问被中止。
图一:网络拥塞
过去DDoS攻击以流量型攻击为主,更多的针对运营商的网络和基础架构;而当前的DDoS攻击越来越多的是针对具体应用和业务,如:针对某个移动APP应用、企业门户应用、在线购物、在线视频、在线游戏、DNS、Email等,攻击的目标更加广泛,单次攻击流量小成本低,移动型智能终端攻击,攻击行为更为复杂和仿真,造成DDoS攻击检测和防御更加困难。
想象一下,在网络世界夜幕低垂时,服务器、PC、Pad、手机、智能电视、路由器、打印机、摄像头……这些数字节点如同四面八方的萤火虫般为某次DDoS攻击默默地贡献自己的资源,前赴后继,直至目标业务无法正常运行。
业务刚刚起步,就遭到来路不明的DDoS攻击,有的攻击来自同行竞争,有的攻击来自敲诈勒索。此时我们没有多余的钱来自建防护,也没有足够的技术沉淀来自建防护,企业陷入了进退两难的境地。相信很多互联网初创企业都深有感触。
针对DDoS攻击,云端卫士自建清洗服务中心、与IDC共建清洗服务中心以
提高防护带宽和防护范围。云端卫士防护提供了高防IP、域名解析、BGP引流等多种解决方案,以适应不同客户的具体防护业务场景。同时多个清洗服务中心可以联动防护和自动,为客户提供高质量、高价值抗DDoS服务。
目前云端卫士的业务模式主要分为一站式托管防护和便捷式云端防护:
1)在一站式托管防护的抗DDoS业务模式下,用户购买抗DDoS业务,需要把域名解析到云端卫士提供的CNAME记录上,并配置源站服务器IP;如果非Web业务,直接将业务IP换成云端卫士提供的高防IP即可;所有公网流量都会经过云端卫士的智能抗DDoS设备,恶意DDoS攻击流量在智能抗DDoS设备上会被丢弃,正常业务流量请求送回源站IP,从而确保源站IP安全稳定可用。
图二 一站式托管防护
2)在便捷式云端防护的抗DDoS业务模式下,用户购买抗DDoS业务,可以通过域名解析的方式,将流量牵引到智能抗DDoS设备。也可以通过流量牵引(如BGP流量牵引、OSPF流量牵引等),直接将客户提供客户服务的IP地址流量牵引到智能抗DDoS设备,由智能抗DDoS设备对流量进行过滤后,将正常流量转发给服务器;服务器响应的流量直接返回给客户端之前,无需再次经过智能抗DDoS设备。
图三 便捷式云端防护
云端卫士自主研发的智能抗DDoS设备内置了当前主流的DDoS防御算法;同时又提供开放接口,可以随时添加新的防御特征,以防护最新的攻击。现在云端卫士的每个清洗服务中心都设置了一套智能行为分析平台和多台智能抗DDoS设备。
智能抗DDoS设备负责具体的防护,并将异常IP、正常IP和相关统计信息上传到智能行为分析平台;这些智能抗DDoS设备之间可以进行联动;智能分析平台负责对智能抗DDoS设备上传的信息进行汇总和分析,将分析结果下发到本地智能抗DDoS设备并上传到总控节点。总控节点汇集智能行为分析平台的信息,形成云端卫士的信誉库和行为特征库,下发到各地节点。同时,各个节点的数据可以共享云端卫士的信誉库和行为特征库,并对信誉库和行为特征库反馈的数据。
未来,网络攻击仍将处于不断增多且更加复杂化的趋势下,有效应对且最小化业务损失会是企业要迫切解决的问题。云端卫士智能DDoS防护系统将一直致力于帮助客户解决这些问题。