- 1Terraform学习日记-AWS-EC2_terraform --install-autocomplete
- 2【云原生|K8s系列第5篇】:实战使用Service暴露应用_external service暴露服务
- 3Ping的含义和作用_ping 域名是为了什么
- 4计算机网络方面有哪些书籍值得推荐?_关于计算机网络方面的书籍
- 5java毕业设计点餐系统的设计与实现mybatis+源码+调试部署+系统+数据库+lw_基于java的智慧食堂设计与实现
- 6【2024最新】Gradle安装配置教程_gradle下载安装
- 72024年最全【粉丝福利 第1期】教你如何一站式解决OpenCV工程化开发痛点,2024年最新网络安全开发基础面试题
- 8python识别视频中火焰_监控视频中火焰检测算法
- 9建立Typora-Markdown云笔记-错误解决_typora新建文件时保存报错
- 10Python函数(函数定义、函数调用)用法详解_python定义函数可以用到之后的函数
死扛无限防御-DDoS/CC流量清洗_ddos流量清洗可以绑定家宽吗?
赞
踩
版权声明:本文为搜狐号博主「迷途斑鸠」的原创文章,遵循版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.sohu.com/a/360656262_100184097
在高防服务器租用中,“宽带流量清洗解决方案”的实施,减轻了来自于DDoS攻击流量对城域网造成的压力,提升带宽利用的有效性;保护企业网络免受来自互联网的攻击,提高网络性能,实现其核心业务的永续,保障其核心竞争力。
高防服务器宽带流量清洗解决方案提供的服务包括:网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。
宽带流量清洗解决方案主要分为三个步骤。
第一步,利用专用的检测设备对用户业务流量进行分析监控。
第二步,当用户遭受到DDoS攻击时,检测设备上报给专用的业务管理平台生成清洗任务,将用户流量牵引到流量清洗中心。
第三步,流量清洗中心对牵引过来的用户流量进行清洗,并将清洗后的用户合法流量回注到城域网。同时上报清洗日志到业务管理平台生成报表。其原理图如下:
死扛无限防御-DDoS/CC流量清洗
解决方案涉及的关键技术包括对DDoS攻击的检测防御,对被攻击用户的流量的牵引和清洗后的流量回注。其具体技术请见下面天下数据小编为大家分享的描述。
流量检测防御技术
流量清洗宽带流量清洗解决方案,流量检测和防御功能由旁挂在城域网的专用探测和防御设备实现。
DDoS探测设备通过对城域网用户业务流量进行逐包的分析和统计,完成用户流量模型的自学习,并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后,探测设备向专用的业务管理平台上报攻击事件。
DDoS防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和计算用户行为的单向防御技术,可以实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量。支持丰富的攻击防御功能,如,SYN Flood,UDP Flood,ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常见攻击的防御。
流量牵引技术
为了在用户的业务遭受DDoS攻击时,将用户的流量动态的牵引到流量清洗中心来进行清洗。流量清洗中心利用IBGP或者EBGP协议,首先和城域网中用户流量路径上的多个核心设备(直连或者非直连均可)建立BGP Peer。攻击发生时,流量清洗中心通过BGP协议会向核心路由器发布BGP更新路由通告,更新核心路由器上的路由表项,将流经所有核心设备上的被攻击服务器的流量动态的牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性,确保清洗中心发布的路由不会被扩散到城域网,同时在流量清洗中心上通过路由策略不接收核心路由器发布的路由更新。从而严格控制对城域网造成的影响。
流量回注技术
流量清洗系统支持丰富的网络协议和多种物理接口来实现将清洗后的流量重新注入到城域网。可以提供策略路由、MPLS VPN、二层透传、双链路等多种方式进行用户流量的回注。
完善策略防护机制
一、安全防护:
1.源头控制(ip)
-封闭式:限定访问的IP(指定服务器才能访问即授权访问)
-开放式:白名单IP允许
-开放式:黑名单IP禁止
-开放式:业务行政物理地址外IP禁止(IP定位),消除代理攻击
-开放式:业务行政物理地址内IP允许(IP定位),消除代理攻击
2.端口控制
-知名端口:常用的知名端口,如80,修改知名端口或关闭不必要知名端口。
-匿名端口:采用不常用的端口号,端口不连号。
3.应用场景控制(手机或PC和其他)
-手机端:只会在手机端使用的接口,不对其他终端响应
-PC端:都可以访问
-特定场景:特定场景使用的接口不暴露,且做场景分析控制,非场景下不允许使用
4.频率控制
-访问间隔:连续访问间隔控制
-周期间隔:周期内访问间隔控制
-周期访问次数:周期访问次数控制
-特定场景访问次数控制:特定场景次数分析
5.请求地址控制
-不存在的地址控制
-恶意攻击地址控制
6.参数控制
-多余的参数:多余的参数分析和记录
-SQL攻击:SQL攻击
-XSS攻击:js脚本攻击和url检测
-参数取值:合理取值范围和类型
7.流程控制
-流程漏洞控制,确保没有流程空白
-多接口混合使用形成的流程漏洞控制
8.缓存控制
-缓存更新漏洞机制
-缓存不同步漏洞控制
9.bug错误控制
-异常控制
-异常暴露
-异常流程控制
-bug对设计的冲击控制
10.系统协作控制
-多端协作流程漏洞控制
11.分布式控制
-数据一致性漏洞
-其他
12.服务器漏洞
-漏洞检测和修复
二、保护措施:
1.拒绝服务:当次停止响应,减少性能消耗
2.拉黑:后续全部停止响应
3.限制降频:降低允许访问的频率
