大型数据中心如何进行DDoS防御
2019-02-12 14:42:52来源:搜狐科技 热度:
随着DDoS攻击越来越频繁的威胁到基础业务系统和数据安全,如今每个公司都会考虑选用具有DDoS攻击能力的服务器产品,把安全防护的需求交给专业的服务提供企业是现在普遍的防护手段。通常大型数据中心都会使用旁路部署技术来应对:抗拒绝服务产品可以不必串联在原有网络中,除了减少故障点,而且由于大多数带宽不必实时通过抗拒绝服务产品,因此一个较小的抗DDoS清洗容量就可以适用于一个大带宽的网络中,有效的降低投入成本。旁路工作原理如下:
攻击检测:通过配置镜像接口或Netflow方式 感知到有攻击流量,判断是否有拒绝服务攻击发生。
流量牵引:确定发生拒绝服务攻击后,利用路由 交换技术,将原本要去往受害IP的流量牵引至旁路 ADS设备。被牵引的流量为正常流量与攻击流量的混合流量;
攻击防护/流量净化:ADS设备通过多层次 的垃圾流量识别与净化功能,将拒绝服务攻击 的流量从混合流量中分离、过滤;
流量注入:经过ADS净化之后的正常流量被重新注入回网络,到达目的IP.
采用旁路部署,具有以下优势:仅在IPS等安全设备报警时与之联动,开始自动注入混合流量,平时正常情况下并不工作;设备旁路部署即使ADS出现故障也不会影响网络连通性;多机并用成倍提升清洗能力;支持手动/自动牵引流量,让安全工程师与安全设备互补。
一级运营商管理运营丰富的骨干网带宽资源,对于大流量及超大流量DDoS攻击具有先天性的压制优势,运营商是整个网络的支撑者,所有的攻击流量都必须通过运营商, 如果在运营商层面全面的打击DDOS攻击行为,将能起到一劳永逸的效果,所以运营商应当为用户打造抗DDOS的堡垒。
对于运营商而言,保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击,那么所有承载的业务都会瘫痪,这必然导致服务质量的下降甚至失效。同时,在目前竞争激烈的运营商市场,服务质量的下降意味着客户资源的流失,尤其是那些高ARPU值的大客户,会转投其他的运营商,这对于运营商而言是致命的打击。所以,有效的DDoS防护措施对于保证网络服务质量有着重要意义。另一方面,对运营商或是IDC而言,DDoS防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,这给运营商带来了新的利益增长点,也增强了其行业竞争能力。
目前大部分的DDOS攻击都会使用伪造的IP地址,尤其是反射型的DDOS攻击,如果不使用伪造的IP将无法攻击,如果运营商在全网开启源IP的校验,是不伪造的IP无法进入互联网则可以从源头上制止DDOS攻击。另外,使用溯源技术:因为在全网开展源地址验证可能会难度很大,但是防DDOS的关键又在源地址上,所以应该使用各种溯源技术,在攻击发生时迅速找到攻击源,取证并切断攻击源的网络,使攻击止于源头。
对于普通用户的网络接入,应尽量给与私网IP地址,然后通过NAT多个用户公用同一IP,这样第一节省了IP地址,第二,普通用户发出的各种报文的源地址都会被NAT替换成真实的地址,防止源地址伪造。第三,也有利于普通用户的安全,这相当于多了一道防火墙,能够阻挡大部分来自公网的主动连接,比如扫描等行为。或者把ip报文头中未实际使用的部分,比如八位的QOS标志、IP选项字段,加入对来源标识功能,每个接入层的路由交换设备带有不同的标致,可以通过报文携带的不同标志找到它的大体发送源。
运营商一定要高度重视自身网络设备的安全性,不要让网络设备成为反射放大器甚至被黑客控制,因为运营商在网络中起到只管重要的作用,如果黑客远程关闭一台核心交换机将比任何DDOS攻击危害更大效果更明显。在各地区建立流量清洗站,清洗DDOS流量,并且为企业提供清洗服务,将DDOS流量转入清洗站清洗,如遇特大型DDOS攻击时,可以共同分担清洗任务。总之,云计算公司有很大的计算能力,运营商有很大的带宽资源,强强联合能极大提升抗DDOS能力。
在DDoS攻击中,攻击方和防御方就像两名棋局上的棋手,见招拆招,根据对方的改变而改变自己的攻击/防御方法,仅仅通过一种方式就打瘫一个目标是很难实现的,仅仅靠ADS设备去自动的防御所有攻击是不现实的,不论实在攻击还是防御中,人都应该处在主导地位,通过安全人员的专业知识与经验,合理的使用和配置防御设备才能更好的防御住来自于各方的各种DDOS攻击。
责任编辑:孙云逸
为您推荐
享乐高清数字 华硕TS mini迷你家用服务器近年来,随着IT技术的飞速进步,功能全面的数字化终端广泛普及。用户对于数据处理的实时性、交互性以及安全性都有着越来越高的要求,客观上推动了个人数字产品由单一功能转向多元应用,并更加高效地实现各种设备之间的资源共享,打造出内容丰富、功能强大、灵活易用的个人/家庭数字平台。家用服务器的出现,加快了资源整合的过程,有力推进了个性化数字梦想照进现实。为什么普通家庭也需要一台服务器呢?比尔.盖茨曾作此解释:“如果你有多台电脑,那么,要想随时获得文件,无论电脑关闭与否,你可能就会希望有一台能够实现自动存储功能的服务器。这样,你就不需要记住驱动器的名称或者带着文件到处跑了。”与商业应用不同,家用服务器旨在为
节能IDC:存储绿色化 数据中心模块化一提起数据中心里的用电大户,许多IT技术人员首先想到的就是电力或者空调制冷设备。但近年来来随着存储设备使用量的增多,存储设备26—40%的耗电量显然已经受到诸多数据中心运维人员的关注。在增加性能的同时减少负荷,是每个存储经理人面临的挑战。存储经理人需要在这方面采取新的措施,比如找到一种方法可以既降低存储系统上的能耗,同时还能提供给用户所需要的容量。许多厂商都考虑到的设备的能耗问题,力求为用户打造安装方便、易于维护和扩展的存储产品,同时最大程度的减少用电量。究竟哪些技术能够有效的减少数据中心能耗,实现绿色存储呢?我们不妨在这里盘点一下。虚拟化:拯救数据中心的高能耗虚拟化技术可以说是数据中心能耗的
靳东滨:中电信计划明年正式推云主机及云存储图:中国电信(微博)集团公司副总工程师靳东滨9月26日消息,中国电信集团公司副总工程师靳东滨在ICT中国·2011高层论坛上透露,中国电信计划在明年正式推出云主机,云存储等系列产品。靳东滨表示,在新兴领域,物联网和云计算将作为中国电信在ICT领域发展的重点,ICT产业正呈现出高速发展的良好势头,面临千载难逢的大好机遇。不过他也坦言,目前ICT产业发展仍不均衡,产业链比较薄弱,技术标准体系仍不够完善,业务模式仍不够成熟,行业融合也不够广泛,缺少有利于产业化推进
