【产品技术】DDoS高防进阶篇

举报
懒宅君 发表于 2020/06/30 17:28:40 2020/06/30
【摘要】 CNAME就是DNS别名。DNS A记录是把域名直接解析到IP地址,而CNAME记录则是把域名解析到另外一个域名(别名)。例如,域名“www.abc.com”配置了CNAME别名“ccd01c25c8535fa4.huaweisafedns.com”。用户访问“www.abc.com”时,DNS通过第一次解析获得了CNAME别名后,自动对CNAME别名“ccd01c25c8535fa4.hu...

CNAME就是DNS别名。DNS A记录是把域名直接解析到IP地址,而CNAME记录则是把域名解析到另外一个域名(别名)。例如,域名“www.abc.com”配置了CNAME别名“ccd01c25c8535fa4.huaweisafedns.com”。用户访问“www.abc.com”时,DNS通过第一次解析获得了CNAME别名后,自动对CNAME别名“ccd01c25c8535fa4.huaweisafedns.com”进行二次解析获得该CNAME对应的真实IP地址。解析过程由DNS协议自动完成。

 

DDoS高防的应用程序防护服务非常简单,只要将应用程序的DNS记录切换成由DDoS高防提供的虚拟IPVIP)地址即可。一旦切换完成,所有的应用程序流量就会导入DDoS高防全球流量清洗中心。由该中心进行分析、检验与清洗工作,以移除所有攻击流量,并将合法流量传回至客户的基础设备。

 

                                              image.png

·       在没有遭受攻击时,客户正常运作不受影响。

·       当攻击启动并蔓延时,DDoS高防与客户携手合作,将流量重新导至DDoS高防清洗设备,以缓解攻击。

·       DDoS高防会透过客户路由器与DDoS高防路由器间的私人设定连结,将清洗后的流量传回客户端。

·       攻击结束后,客户可选择取消或继续将流量导至DDoS高防。

网络架构

攻击流量过滤层

·       高速旁界过滤(High-speed Border Filtering):利用全线速度访问控制列表,用以抵挡频宽洪水型攻击。

·       协议验证(Protocol Verification):协议验证检查及过滤第三层网络交换,路由协议和层级传输协议,确保数据包获正确使用,减缓滥用数据包的洪水型攻击。

·       深度封包检测(Deep Packet Inspection,DPI):过滤数据包报头和应用层流量,过滤掉利用TCP/IP协议漏洞的SYN Flood和同类攻击。

·       自适应过滤(Adaptive Filtering):利用统计分析和异常识别来防范零日攻击。

·       应用层过滤(Application Level Filtering):阻挡不符合协议规范的HTTP流量,不需要的HTTP应用程序或内容,以及无法通过DPI引擎的HTTP流量。

·       渐进式挑战-回应(Progressive Challenge-Response):用户身份验证,进一步区分欺骗和合法流量。

·       智能HTTP格式错误过滤:能有效缓解应用层的攻击(HTTP攻击)。

·       灵活内容过滤(Flexible Content Filtering):能阻挡HTTP Flood的攻击。

·       速率限制(Rate LImiting):根据预设基线,进一步限制滥用系统和频宽资源的攻击流量。

·       网络应用程序防火墙(WAF):全面保护网络应用程序、移动应用程序和应用程序界面(API),免受OWASP十大攻击等常见威胁。可自订WAF网站防护政策。

·       云端缓存(Caching):庞大的云端缓存容量作为最后一道防线,能吸收侥幸通过以上各个过滤层的剩余攻击流量。

image.png

功能介绍

应用程序攻击是DDoS事件中损害最大也最难缓解的攻击之一,保护企业应用程序不受DDoS攻击已成为网络安全策略中不可或缺的要素。有了专为应用程序打造的应用程序保护服务,无论面对网络犯罪、黑客攻击、网络间谍或其他攻击,DDoS高防都可让企业快速部署并进行有效防护。

技术特点

  • 专利网络爬虫检测技术:阻挡恶意爬虫、垃圾邮件发送者、黑客和机器人等,甚至能识别出伪造的IP地址,防止网络犯罪窃取网站内容或登录资讯和在客户网站上发动DDoS攻击。

  • SSL攻击缓解:阻挡基于SSL的攻击流量。SSL解锁和渐进式挑战-回应身份验证,仅在可疑流量上实施。DDoS高防的SSL认证管理系统,遵循PCI和ISO 27001等安全标准,确保进出DDoS高防缓解系统的数据安全保密。

  • 内容和网络优化:压缩流量并将之存于云端快取,能让全球客户更快速读取网站或网络资源的数据和送出流量到指定网站或网络资源。搭载了弹性负载均衡,支援多个后端配置。当某后端服务器发生故障时,其他服务器自动分担流量。

  • 渐进式挑战-回应:抵挡针对应用层的所有滥用和攻击。DDoS高防的渐进式挑战-回应用户身份验证机制,以非入侵式的方法检测用户浏览器活动是否合法,当流量大小或请求数量超过预算阈值时,验证自动升级,过程中尽量减低对用户的影响,同时降低假阳性率(False Positive Rate)。

  • 网络程式防火墙:采用黑名单规则来对应已知的资安风险,特别是OWASP十大资安风险。客户端还可以在入门网站上自订进谐安全政策。

能缓解的攻击类型

类型

攻击类型

Bandwidth/

Network Depletion Attacks

Protocol Flood /

Exploitation Attacks

TCP Flood

UDP Flood

ICMP Flood

(Smurf, Ping Flood, Ping of Death, ICMP Echo)

TCP SYN, SYN/ACK, RST, FIN Flood

(Spoofed and Non-spoofed)

IP Null

Fragmentation

(IP/UDP, IP/ICMP, IP/TCP, Teardrop)

DNS Amplification

Fraggle

Nuke

TCP Flag Abuse

Zombie / Bots Attack

Application-based

Attacks

HTTP Attacks

HTTP GET/POST Flood

HTTP Page Flood

HTTP Connection Flood

HTTP Malformed Request

HTTP 404

Slowloris

Socketstress

Slow HTTP

DNS Attacks

Reflected DNS

DNS Query

DNS UDP flood

DNS TCP flood

DNS Malformed Query

Protocol and Vulnerability Exploitation DoS/DDoS

Hacks

SQL Injection

Cross Site Scripting (XSS)

Cross Site Request Forgery (XSRF)

Session Hijack

Others

Malicious Headers

Malicious Payloads

Pucodex

Zero Day Exploits

 

 


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。