巧妙化解DDoS攻擊

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

對(duì)于在線企業(yè)特別是電信運(yùn)營(yíng)商數(shù)據(jù)中心網(wǎng)絡(luò)來(lái)說(shuō)，分布式拒絕服務(wù)攻擊（DDoS）的出現(xiàn)無(wú)疑是一場(chǎng)災(zāi)難，對(duì)于它的有效防護(hù)一直是網(wǎng)絡(luò)應(yīng)用中的一個(gè)難題。

一直以來(lái)DDoS是人們非常頭疼的一個(gè)問(wèn)題，它是一種很難用傳統(tǒng)辦法去防護(hù)的攻擊手段，除了服務(wù)器外，帶寬也是它的攻擊目標(biāo)。和交通堵塞一樣，DDoS已經(jīng)成為一種網(wǎng)絡(luò)公害。

傳統(tǒng)防護(hù)：有心無(wú)力

防止DDoS攻擊，比較常用的有黑洞法、設(shè)置路由訪問(wèn)控制列表過(guò)濾和串聯(lián)防火墻安全設(shè)備等幾種。

黑洞法：具體做法是當(dāng)服務(wù)器遭受攻擊之后，在網(wǎng)絡(luò)當(dāng)中設(shè)置訪問(wèn)控制，將所有的流量放到黑洞里面去扔掉。這個(gè)做法能夠在攻擊流量過(guò)來(lái)的時(shí)候，將所有攻擊拒之門外，保證對(duì)整個(gè)骨干網(wǎng)不造成影響，但它同時(shí)也將正常流量擋在了門外，造成服務(wù)器無(wú)法向外部提供服務(wù)，中斷了與用戶的聯(lián)系。

設(shè)置路由訪問(wèn)控制列表過(guò)濾: 這種方法企業(yè)用戶自己不去部署，而是由電信等服務(wù)提供商對(duì)骨干網(wǎng)絡(luò)進(jìn)行配置，在路由器上進(jìn)行部署?，F(xiàn)在路由器上的部署就是兩種方式，一種是ACL——作訪問(wèn)控制列表，還有一種方式是做數(shù)據(jù)限制。這兩種方式都可以歸結(jié)為ACL，它的最大問(wèn)題是如果攻擊來(lái)自于互聯(lián)網(wǎng)，將很難去制作面向源地址的訪問(wèn)列表，因?yàn)樵吹刂烦鎏帋в泻艽蟮碾S意性，無(wú)法精確定位，惟一能做的就是就面向目的地址的ACL，把面向這個(gè)服務(wù)器的訪問(wèn)控制量列出來(lái)，將所有請(qǐng)求連接的數(shù)據(jù)包統(tǒng)統(tǒng)扔掉,用戶的服務(wù)將受到極大影響。另外一個(gè)缺陷就是在電信骨干上設(shè)置這樣的訪問(wèn)控制列表將給訪問(wèn)控制量管理帶來(lái)極大困難。而且采用這種方法還帶有很大的局限性，它無(wú)法識(shí)別虛假和針對(duì)應(yīng)用層的攻擊。

串聯(lián)的防火墻安全設(shè)備:對(duì)付DDoS攻擊，還有一種是采用防火墻串聯(lián)的方法，對(duì)于流量已達(dá)幾十個(gè)G的運(yùn)營(yíng)商骨干網(wǎng)絡(luò)來(lái)說(shuō)，由于防火墻能力和技術(shù)水平所限，幾個(gè)G的防火墻設(shè)備很容易就會(huì)超載導(dǎo)致網(wǎng)絡(luò)無(wú)法正常運(yùn)行，而且具有DDoS防護(hù)功能的防火墻吞吐量會(huì)更低，即使是防火墻中的“頂尖高手”也是有心無(wú)力，無(wú)法擔(dān)此重任。另外采用這樣的方法無(wú)法保護(hù)上行的設(shè)備，缺乏擴(kuò)展性，還有就是無(wú)法有效的保護(hù)面向用戶的資源。

解決之道在“智能”

從以上分析不難看，傳統(tǒng)對(duì)付DDoS的方法效率不高，而且還存在著一些無(wú)法克服和解決的問(wèn)題。智能化DDoS防護(hù)系統(tǒng)來(lái)自Riverhead公司（已被思科收購(gòu)）的創(chuàng)新技術(shù)，其智能化DDoS防護(hù)系統(tǒng)是由檢測(cè)器和防護(hù)器兩部分構(gòu)成。它具有使用方便，部署簡(jiǎn)單，無(wú)需改變網(wǎng)絡(luò)原先構(gòu)架，實(shí)行動(dòng)態(tài)防護(hù)等優(yōu)點(diǎn)，從根本上解決了DDoS的防護(hù)問(wèn)題。

防護(hù)器采用并聯(lián)方式連接在骨干網(wǎng)絡(luò)當(dāng)中，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有任何影響。當(dāng)網(wǎng)絡(luò)中有不良流量對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)，檢測(cè)器會(huì)向防護(hù)器發(fā)出報(bào)警，這樣DDoS防護(hù)器就能知道網(wǎng)絡(luò)中服務(wù)器被攻擊的情況，攻擊的目的以及來(lái)自哪些地址。這時(shí)防護(hù)器立即啟動(dòng)開(kāi)始工作，通知路由器，將面向這些地址的流量全部都發(fā)送到防護(hù)器，暫時(shí)接管了網(wǎng)絡(luò)中的這些數(shù)據(jù)流量，并對(duì)其進(jìn)行分析和驗(yàn)證，所有非法惡意流量將在這里被截獲丟棄，而正常的流量和數(shù)據(jù)將被繼續(xù)傳送到目的地。

防護(hù)器采用了一種被稱為MVP（多次確認(rèn)流程）的專利技術(shù)，通過(guò)5層分析和過(guò)濾，有效識(shí)別和阻攔DDoS攻擊。防護(hù)器采用專門的硬件結(jié)構(gòu)來(lái)進(jìn)行處理，使用了專用芯片，效率極高。在測(cè)試中，當(dāng)網(wǎng)絡(luò)流量達(dá)到600兆左右的時(shí)候，它的CPU占用率才1%，延時(shí)1毫秒左右，完全能勝任大型骨干網(wǎng)絡(luò)的DDoS防護(hù)。

來(lái)源：CCW