DDoS 攻击怎么防御

 

 

细说 DDoS 攻击——防御篇

网络可达处,皆可有攻击。

关于 DDoS 攻击,笔者在之前的《细说 DDoS 攻击——扫盲篇》一文中,从攻击原理、始作俑者、易攻难守和内幕动机四个方面介绍了它的来龙去脉。

面对棘手的 DDoS 攻击,目前业内有哪些防御手段?各种防御手段的特点是什么?如何进行选择与搭配?

本期,笔者将围绕这三个问题,为您详细介绍应对 DDoS 攻击的三种典型防御手段,分别是黑洞路由高级防护近源清洗

 

1

黑洞路由

首先我们来介绍第一种防御手段——黑洞路由。顾名思义,就是当 DDoS 攻击发生后,为了防止影响进一步扩大,客户网络向运营商网络通告一条关于受攻击服务器 IP 的黑洞路由,运营商网络收到黑洞路由后,随之停止对外通告关于该 IP 的路由,这时受攻击的 IP 地址便像从互联网中消失了一般,无法再被任何主机访问到——相当于在互联网上制造了一个路由的“黑洞”。

为了方便您更好地理解,笔者为您举个例子。如下图所示,客户网络中有 A、B、C、D 四台服务器,共用某运营商提供的互联网接入服务。突然,服务器 A 受到了来自互联网的 DDoS 攻击,服务器 A 很快就因为负载过重而瘫痪,无法对外提供服务了。更要命的是,由于攻击流量持续汹涌而至,客户网络上连的互联网出口也出现了严重的流量拥塞,这使得未被攻击的服务器 B、C 和 D 也无法正常对外提供服务。

图片:DDoS 攻击示意图

就在这千钧一发之际,客户网络对上游运营商“大吼”一声:“服务器 A 已死!”运营商收到消息后,也随之互联网的四面八方“叫道”:“服务器 A 已死,别再通过我找他了!”。于是,一传十,十传百,整个互联网中都传遍了服务器 A 的死讯。 

就这样,互联网上所有的主机,包括“肉机”和正常电脑,均找不到服务器 A 了,DDoS 攻击流量和正常流量在互联网的边缘便被丢弃,网络拥塞的情况也随之解除,正如下图所示。


图片:黑洞路由的工作原理示意图

这就是黑洞路由的工作原理。细心的读者可能会发现,黑洞路由的副作用非常大,因为正常流量也受到了影响。因此,用黑洞路由防御 DDoS 攻击的本质是“弃车保帅”,通过牺牲被攻击的服务器,解除网络拥塞,来保全客户网络。

 

2

高级防护

黑洞路由虽然有效制止的 DDoS 攻击,但毕竟有着不小的副作用。有没有副作用小一些防御方式呢?答案是高级防护。

如下图所示,高级防护需要通过清洗中心来实现。它的工作原理是这样的:首先,清洗中心与互联网通过超大带宽相连接,可以承诺大流量的 DDoS 攻击;其次,清洗中心部署了流量分析和过滤的设备,能对将攻击流量和正常流量分辨出来,并过滤攻击流量;再者,清洗中心类似中介,它会向互联网通告客户网络的路由,将访问客户网络的流量引到自己身上。如此一来,当发生 DDoS 攻击时,清洗中心便能利用强大的带宽容量以及流量分析过滤能力“扛住”攻击,只将正常的访问请求发送给服务器 A,进而既保护了服务器 A,又保护了整个客户网络。

通俗地讲,清洗中心就像是客户网络的保镖兼经纪人,所有需要访问客户网络的流量均需要经过保镖,武艺高强的保镖能为客户挡住所有的不速之客,而只给好人放行。

图片:高级防护的工作原理示意图

用高级防护对抗 DDoS 攻击的本质是“用资源换安全”,通过大带宽的网络和高性能的流量分析过滤系统,“硬扛”DDoS 攻击。此外,高级防护加长了流量的路径,引入了清洗中心,这会在一定程度上增加业务的时延,可能会影响用户的访问体验。

 

3

近源清洗

高级防护虽然能有效地保护被攻击的服务器以及客户网络,但那毕竟是以消耗带宽资源和算力资源为代价的。有没有更加智能而节省资源的方式呢?答案是近源清洗。

如下图所示,近源清洗由清洗调度中心和运营商的边缘网络协同实现。它的工作原理是这样的:清洗调度中心会对互联网中的流量进行实时监测分析,一旦发现 DDoS 攻击流量,便将其引导到就近的边缘节点进行分布式的清洗,从源头上压制 DDoS 攻击,达到“四两拔千金”的效果

图片:近源清洗的工作原理示意图

需要指出的是,近源清洗需要“云边协同”才能实现,即不仅要有对流量的分析能力,还需要能调度边缘的网络设备对流量进行过滤,因此近源清洗是运营商独特的优势。也正因此,它的作用范围仅限于运营商的互联网的自治域内——因为一家运营商无法调度另一家运营商的网络设备。

目前,国内三大运营商都推出的各自的近源清洗产品,分别是中国电信的云堤,中国联通的云盾,以及中国移动的和盾。

 

4

小结

黑洞路由、高级防护和近源清洗是目前业内三种防御 DDoS 攻击的有效手段, 由于性能效果、适用场景和产品资费不尽相同,客户可根据需要选择性地搭配使用。

为了方便查阅,笔者制作了以下表格,列举了各种 DDoS 防御手段的特点。

表格:三种防御 DDoS 攻击手段的对比

本期的分享就到这里,在后续的文章中,笔者还会为您进一步深入介绍 DDoS 攻击的实战应用,敬请关注。 

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35214.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年4月9日 下午6:28
下一篇 2024年4月9日 下午6:29

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注