發(fā)布時間:2019-07-15 作者:未知
DDOS攻擊是一種惡意的攻擊手段,主要以以消耗網(wǎng)絡(luò)帶寬的攻擊手段,受到攻擊需求防御方法,如租用高防服務(wù)器,或者高防CDN等不同的防御手段。如何使用高防CDN來幫助網(wǎng)站防御DDOS攻擊呢
高防CDN的原理就是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務(wù)器,通過中心平臺的負(fù)載均衡、內(nèi)容分發(fā)、調(diào)度等功能模塊,使用戶就近獲取所需內(nèi)容,而不用直接訪問網(wǎng)站源服務(wù)器。其原理簡單的說就是架設(shè)多個高防CDN節(jié)點,當(dāng)有CDN節(jié)點攻擊的時候各個節(jié)點共同承受。不會因為一個節(jié)點被攻擊打死而導(dǎo)致網(wǎng)站無法訪問,同時還可以隱藏網(wǎng)站源IP。
如何使用高防CDN來幫助網(wǎng)站防御DDOS攻擊呢
1.隱藏網(wǎng)站源站ip提供安全性
隱藏源站服務(wù)器IP地址。cdn域名解析只針對解析記錄值,不針對源服務(wù)器IP,從而隱藏源服務(wù)器IP地址。cdn可以多個高防節(jié)點可抵御大規(guī)模流量攻擊,攔截并清洗大量的流量,減少因為流量攻擊對業(yè)務(wù)造成的影響。高防CDN對外露出的是各網(wǎng)絡(luò)節(jié)點的ip地址段,利用CDN網(wǎng)絡(luò)節(jié)點IP實現(xiàn)對源站的業(yè)務(wù)轉(zhuǎn)發(fā),攻擊者沒法根據(jù)業(yè)務(wù)交互獲得真實的用戶源站,進而確保了源站的安全性。
2.高防cdn的防御機制
根據(jù)不同的攻擊類型進行調(diào)整高防防護策略,以此更有效的攔截清洗攻擊,把攻擊對網(wǎng)站的影響降低。
3.緩存加速能力好
cdn本身可以就近抓取緩存文件,可以根據(jù)DNS智能解析來實現(xiàn)調(diào)度,還可以對業(yè)務(wù)網(wǎng)站中的靜態(tài)數(shù)據(jù)資源進行提速,還可以對動態(tài)、靜態(tài)資源的加速分發(fā)減少源服務(wù)器帶寬消耗。速度提高啦,體驗度增強,節(jié)省運營成本。
DDoS攻擊防御方法
過濾不必要的服務(wù)和端口:可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假IP。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
異常流量的清洗過濾:通過DDOS硬件防火墻對異常流量的清洗過濾,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。單臺負(fù)載每秒可防御800-927萬個syn攻擊包。
分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的有效辦法。分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址(負(fù)載均衡),并且每個節(jié)點能承受不低于50G的DDOS攻擊,如一個節(jié)點受攻擊無法提供服務(wù),系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點,使攻擊源成為癱瘓狀態(tài)。
高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合,它顛覆了傳統(tǒng)一個域名對應(yīng)一個鏡像的做法,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時智能DNS解析系統(tǒng)還有宕機檢測功能,隨時可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP。
當(dāng)發(fā)生DDOS攻擊時,網(wǎng)絡(luò)監(jiān)控系統(tǒng)會偵測到網(wǎng)絡(luò)流量的異常變化并發(fā)出報警。在系統(tǒng)自動檢測或人工判斷之后,可以識別出被攻擊的虛擬機公網(wǎng)IP地址。這時高防CDN調(diào)用系統(tǒng)的防DDOS攻擊功能將惡意攻擊阻擋下來。
更多信息請參考>>高防服務(wù)器防御DDOS攻擊和CC攻擊的方法