前有令人闻风丧胆的“熊猫烧香”,现有令人谈之色变的DDoS攻击。面对DDoS攻击,很多企业往往束手无策,但其实DDoS攻击并不是不能解决的,通过云清洗的方式就可以有效解决DDoS攻击带来的困扰。
DDoS攻击其实时刻发生在我们日常生活中,不少企业都面临着DDoS攻击的威胁,所以DDoS攻击也越来越引起人们的重视,但是在很多企业了解了DDoS攻击的原理之后,反倒觉得无从下手,也正是在网络安全界一直流传的一个疑问:DDoS攻击真的是无解的吗?但其实DDoS攻击并非无解,总体来说可以分为两个阶段解决:检测攻击、清洗攻击。
DDoS防护检测很重要
之所以很多人认为DDoS攻击无解就是因为其攻击流量混杂在正常流量当中不好去识别,要么阻挡所有流量,要么就全部放行,这并不能解决DDoS攻击。
所以检测尤为重要,能够检测出攻击流量是防护的第一步。一个较完美的检测方式是使用分光做1:1的流量镜像,然后旁路检测流量镜像,这样的话不影响业务正常运转。
这里的检测便是关键,需要利用流量行为建模和AI智能引擎相结合才可以有效检测分析出流量中是否存在攻击行为。
DDoS防护清洗攻击是关键
既然检测出了攻击流量,那么清洗的难度就没那么大了。在检测到某个IP之后,通过BGP路由牵引至清洗集群防护,清洗后的干净流量,回注至核心路由,最终流至用户的云主机或通过转发集群流至用户在云外的备用机房中。
至于清洗的算法,主要是基于IP/TCP/UDP/HTTP(S)的协议规范以及人机识别来过滤攻击流量。
DDoS防护体系
一个优秀的DDoS攻击整体防护体系需要几个部分组成,外部机房、高防IP转发集群,核心路由、核心网关、BGP高防专区。
这几块相互协作的流程是当ISP网络中的攻击流量过来之后先通过1:1的分光,将分光之后的镜像流量导至BGP高防专区做检测,然后直接丢弃检测后的攻击流量,随即将正常流量回注至核心路由。
然后通过核心网关分发至云主机和高防IP集群,因为在清洗之后仍然会有部分攻击流量残留,所以需要进一步由高防IP集群将其中的正常流量转发至外部机房及云主机。
以上就是解决DDoS攻击的一个有效防护框架,通过检测、清洗两个主要流程来过滤流量,将有效流量保留下来。就相当于在被攻击的目标前面设立了一个“派出所”,将人群中的坏人筛选出来,筛选出来之后把“好人”放行,对于网站的所有者来说,是一种不会影响核心的业务运转的方式。
DDoS攻击现如今仍然是网络攻击中的一大热门攻击类型,但已经不是不能解决的问题了。关于网络安全,其实更需要企业做到未雨绸缪,在建站或者业务提升的上升期,更需要做好网络安全加固,一方面减少损失,另一方面也能顺应国家网络安全法颁布的等级保护制度,实现真正的网络安全。