行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
DDOS防御的发展与演进
2021-09-23 14:12:15 【

DDoS攻击是目前网络攻击中最强大、最难防御的一种,它主要通过大量合法请求来获取大量网络资源,使得正常用户无法访问。DDoS在过去的二十年中一直是网络犯罪的一种重要工具,如今它的发展越来越强大,感染范围也越来越广。随着DDOS系统的不断“进化”,DDoS防护方式也在不断地发展演变。现在防御吧将与您分享这二十多年来DDoS防御系统的发展与发展。


  1.内核优化时代。


  早在DDoS防御时,并没有专业的防护清洗设备,当时的网络带宽也比较小,许多人是用56K的modem拨号上网,攻击者可以利用的带宽也相对较小,对于防御者而言,一般通过内核优化、iptables就能基本解决攻击,有内核开发能力的人也可以通过编写高防服务器的防护模块来提升防护能力。


  此时,利用Linux本身所提供的功能基本可以防御DDoS攻击。例如,对SYNFLOOD攻击,调整net.ipv4.tcp_max_syn_backlog参数来控制半连接队列上限,以避免出现连接中断,调整net.ipv4.tcp_tw_recycle,net.ipv4.tc_fin_timeout来控制tcp状态在TIME-WAIT、FIN-WAIT-2中;对于ICMPFLOOD攻击,控制IPTABLES以关闭和限制ping消息的速率,或者过滤掉不符合RFC协议规范的异常消息。但这种方法只是优化单个服务器,随着攻击的资源和强度的逐渐增强,这种保护方式就显得力不从心。


  2.专业的anti-DDoS硬件防火墙。


  DDoS硬件防火墙从功耗、转发芯片、操作系统等多个方面进行了优化,以满足DDoS流量清理需求。IDC服务提供商会购买anti-DDoS硬件防火墙,部署在机房入口处为整个机房提供清洁服务,这些清洁箱的性能从单百兆的性能逐渐提高到1Gbps、10Gbps、20Gbps、100Gbps或更高,并且基本涵盖3-7层的各种攻击功能(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、ICP、FLOOD、CC攻击、DNS-FLOOD、反射攻击等)。


  对于IDC服务提供商来说,这一点对于IDC运营商来说是相当昂贵的,每一个机房入口都需要清洗设备,需要专业的操作人员进行维护,而IDC机房并非每个IDC机房都能有相同的清洗防护能力,有的小机房只有20G带宽,不具备复用这些清洗设备的能力。


  3.云时代DDoS的高防IP保护方案。


  在云时代,服务被部署在不同的云或传统的IDC机房内,他们提供的DDoS基本清理服务基本上都是很小的,当受到超大流量的DDoS攻击时,主机所在的机房无法提供相应的防护能力,为了保护他们的服务不受影响,会有一个直接“黑洞”。当服务器受攻击流量超过IDC机房黑洞阈值时,IDC机房将屏蔽服务器的外部接入,避免攻击持续,影响整个机房的稳定。


  因此,像防御吧的DDoS高防IP就是通过建立各种大带宽机房,提供一套DDoS解决方案,将流量转移到DDoS高防IP上进行保护,然后再将清洗后的干净流量转发给用户真正的源站。这样就可以复用机房资源,专业机房做些专业的事。降低DDoS防护的复杂性,以SaaS化方式提供DDoS清洗服务,保证企业服务器的正常运行。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇如何设置 CC 防护? 下一篇网站服务器防御ddos攻击的三个方法

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800