Dos拒绝服务攻击是通过各种手段向目标服务器发送大量数量包,从而让服务器的网络带宽和系统CPU、内存、连接数等资源耗尽,使得该目标服务器无法为正常用户提供服务,被DDos攻击后的服务器有哪些防御措施呢?今天是我们要谈的话题。
常规流量型的DDos攻击应急防护方式因其选择的引流技术不同而在实现上有不同的差异性,主要分为以下三种方式,实现分层清洗的效果。
一、运营商清洗服务
流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明,运营商清洗服务在应对流量型DDos攻击时较为有效。但通常情况下,运营商一般不提供此类服务,受到DDos攻击的服务器很可能被运营商封停,从而不会间接影响同一个数据中心下的其它服务器。
二、本地DDos防护设备
一般恶意组织发起DDos攻击时,率先感知并起作用的一般为本地数据中心内的DDos防护设备,而这个设备就是我们平时所说的硬件防火墙,本地防护的硬件防火墙较多采用旁路镜像部署方式。本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先,DDos检测设备日常通过流量基线自学习方式,按各种和防御有关的维度:比如syn报文速率、http访问速率等进行统计,形成流量模型基线,从而生成防御阈值。学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。由管理中心下发引流策略到清洗设备,启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后,为防止流量再次引流至DDos清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。由于此类方案成本较高,在以前只有大型企业采用此类方案进行防御DDos攻击;但随着我们IDC服务商的投入与部署,个人客户也可以采用此类方式进行防御攻击,最低成本最直接的办法是租用高防服务器同样以达到防御DDos攻击的效果。
三、云防御清洗服务
当运营商DDos流量清洗和本地DDos防御设备不能实现防御攻击效果的情况下,可以采用分布式的云清洗服务来进行最后的对决,云防护采用多节点的方式形成集群防护,接入方式分为CNAME域名和直接IP二种,当发生大流量攻击时,云清洗防御系统秒级响应,将流量分散到全国各节点以达到分流,并且同时将恶意流量清洗掉,从而提升攻击对抗能力。此类防御攻击方案为目前最智能、最有效,提高防御能力只需要部署更多节点。此类防御方案的产品有:高防IP,高防CDN,高防DNS等等。