1
布署模式
在实践中,按流量调度方式的不同,通常将 DDoS 攻击的高级防护分为两种不同的布署模式,分别是代播模式和代理模式,前者又被称作透明模式,后者又被称作非透明模式。
1、代播模式(透明模式)
代播模式,顾名思义,就是清洗中为客户网络中需要被防护的服服务器 IP 提供代广播服务,布署过程分为以下三步。
-
第一步:客户网络与清洗中心通过专线或 GRE 隧道建立专用连接。
-
第二步:客户网络基于该专用连接,与清洗中心建立 BGP 对等连接,并将被防护服务器(下图中的服务器 A)的明细路由发布给清洗中心。
-
第三步:清洗中心将被防护服务器(下图中的服务器 A) 的明细路由发布给互联网。
图片:DDoS 防护模式 ,通过路由调度实现
通过上述三步操作,由于明细路由的优先级高于汇聚路由,这样从互联网访问服务器 A 的流量就被先“引导”到了清洗中心,清洗后再的干净流量再被重新“注入”回客户网络并到达服务器 A。由于上述过程中,服务器 A 无法“感知”到清洗中心的存在,因此,也被称作透明模式。
2、代理模式(非透明模式)
代理模式,顾名思义,就是将访问流量引导到高防 IP,并由高防 IP 代理源服务器对外提供服务,布署过程分为以下两步。
-
第一步:清洗中心配置高防 IP,使之与源站(下图中的服务器 A)建立关联,成为源站的代理。
-
第二步:将源站(下图中的服务器 A)DNS 的 A 记录指向高防 IP。
图片:DDoS 防护代理模式 ,通过 DNS 调度实现
通过上述两步操作,从互联网访问服务器 A 的访问请求就被先“引导”到了清洗中心,清洗后再的干净的访问请求重新“注入”回服务器 A。由于上述过程中,需要更改服务器 A 的 DNS 记录,对服务器 A 是“有感”的,因此也被称作透明模式。
2
分层防御
如笔者之前在《细说 DDoS 攻击——扫盲篇》一文中所提,在网络安全实践中,DDoS 攻击呈现出易攻难防的特点,其难以防御的原因主要有三点:来源多且分散,流量大且突然,规律少且变化。
基于 DDoS 的攻击的三个特点,在实践中,往往会采取分层防御的机制,根据各类攻击流量的不同特点,在流量传输的不同阶段,采取不同的防御手段分别进行处理,分而治之。这样一些攻击流量将较早地被处理,避免所有的攻击压力直接传递到客户网络中。
具体来讲,DDoS 攻击的分层防御通常至少包括以下三个层次。
1、第一层:Flowspec 流控
简而言之,Flowspec 流控就是根据攻击流量的特性,预先在网络边缘或枢纽节点做一些流量控制的配置,例如对攻击流量进行丢弃或限速,主要针对流量特征比较显著的大流量攻击。
图片:Flowspec 工作原理,引用自 H3C 官网文档
2、第二层:高级防护
如前文所述,高级防护对抗 DDoS 攻击的本质是“用资源换安全”,通过大带宽的网络和高性能的流量分析过滤系统,“硬扛”DDoS 攻击。高级防护主要被用于应对特征不显著的复杂流量攻击,借助清洗中心的高性能设备,过滤攻击流量。
3、第三层:黑洞路由
黑洞路由是对第一、二层防御的补充和兜底,是一种弃车保帅的做法,是 DDoS 攻击防御的最后一道防线。当第一、二层防御破防时,为保证客户网络中的其它服务器不受影响,果断关停一切对被攻击服务器的流量。
图片:DDoS 攻击分层防御示意图
此外,除了上述三层防御机制,还可以根据需要,在第一层与第二之间加入近源压制,在第二层和第三层之间加入精细清洗,以进一步提升防御的有效性。
3
归纳小结
为了方便您更好地了解两种 DDoS 攻击高级防护的布署模式(代播模式和代理模式)的特点,以及分层防御体系中各层防御手段的特点,笔者准备了以下两张对比表格,供您参阅。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/57194.html
