建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
请选择 进入手机版 | 继续访问电脑版
设置昵称

在此一键设置昵称,即可参与社区互动!

确定
我再想想
选择版块

风云令主2

发帖: 3粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2017-12-25 08:53:24 16525 2 楼主 显示全部楼层
[网络安全] 【干货分享】DDoS防御你不知道的那些事


本帖最后由 风云令主2 于 2017-12-25 10:57 编辑

1.png

这就是DDoS(DistributedDenial of Service)即分布式拒绝服务攻击
DDoS攻击者会控制网络中分布的大量傀儡主机对特定的受害者主机发动大流量报文攻击。由于傀儡主机数量巨大,最终的攻击流量可以达到非常可观的程度。
2.jpg

近年来DDoS攻击规模和频率都在不断攀升,2016年1021日晚间,美国域名服务提供商Dyn遭遇大规模DDoS攻击,峰值流量1.1Tbps,导致包括TwitterNetflixPaypalHBO等在美国东海岸地区宕机
3.png     .
     华为Anti-DDoS解决方案基于传统优势的专业软硬件平台开发,在防护机制中,引入先进的检测机制,提供了业内首创的“V-ISA”信誉安全体系,为租户提供了全面精准的防御新型DDoS攻击的利器。那么V-ISA信誉体系是如何防住DDoS攻击的呢?
    DDoS攻击,无论是流量型还是应用型,说到底都是由各种类型的报文组成,总结起来主要包含TCP Flood、UDP Flood和HTTP Flood,这三种类型报文的攻击,占到了95%以上的攻击比例。每种攻击,都有令目前业界头疼的防御难点。
一、TCP Flood防御技术介绍
首先我们来看TCP Flood,大家都了解TCP作为传输层协议,是面向连接的,保证通信双方的在状况良好的情况下交互数据。而业界在防御TCP Flood时,概括起来有三种方式:
1,Proxy,在防火墙上或者负载均衡设备上,直接模拟TCP协议栈,代理后端的服务器,与来访的TCP报文进行握手认证,保护服务器的安全,但这种方式太消耗性能了,当TCP Flood来临时,Proxy设备自身会因为代理认证的工作量太大,处理不过来,而成为性能瓶颈;
2,源认证,也就是每收到一个来访的报文,就反弹一个带有cookie的反馈回去,用来查看对方是否会正常回应,但这样做的成本比较高,如果收到10G流量的访问,就要反弹回去10G流量进行认证,对于寸流量寸金的数据中心运营商来说,如果拿这10G流量用来反馈用户所关心的内容,岂不是更好
3,业界还有一种做法,就是一不做二不休,进行限流,但这样做就是胡子眉毛一把抓,势必会对正常业务产生影响
接下来我们介绍下华为V-ISA是如何防御TCP Flood攻击的:
5.png

二、UDP Flood防御技术介绍
我们刚刚了解了华为V-ISA信誉机制是如何防御TCP Flood攻击的,但是面对UDP Flood,该如何操作呢?因为UDP是面向无连接的传输协议,我们没有办法使用“源认证”这类的防御手段来检测UDP Flood
业界主要有两种方式:
1,UDP Flood攻击报文具有一定的特点,那就是这些攻击报文往往都拥有相同的特征字段,这些字段来自于DDoS工具自带的默认字符串,所以业界往往是通过收集这些字符串来检测UDP Flood。但道高一尺魔高一丈,攻击工具也在不断演进,可以支持让黑客自定义攻击报文的内容,从而绕开了业界防御机制中对UDP Flood的的检测
2,第二种办法还是老样子,和TCP Flood一样,直接限流,结果同样是会影响用户的正常体验
接下来介绍一下华为V-ISA面对UDP Flood攻击是如何防御的呢?
7.png

三、HTTP Flood防御技术介绍
我们现在已经了解了华为V-ISA信誉机制是如何防御TCP、UDP两种网络层DDoS攻击的,但更加受瞩目的是应用层DDoS攻击,也就是HTTP Flood
业界对于HTTPFlood的防御机制,主要在依靠HTTP协议栈所支持的重定向方式,譬如说我向服务器请求sina页面,服务器可以返回一个命令,让我改为访问sohu页面,这种重定向的命令在HTTP协议栈中是合法的。业界防御机制就是利用这个技术点,来探测HTTP来访者是否为真实存在的主机。但目前HTTP攻击通常也是使用真实主机,所以可以正常地答复重定向要求
第二种还是老办法,对HTTP请求进行限制,这样还是会影响正常访问业务
最好我们介绍一下华为V-ISA面对HTTP Flood攻击是如何防御的呢?
8.png
总结:
    基于“V-ISA”信誉检测体系,华为Anti-DDoS具备了强大的智能防护引擎,得以在系统内部集成DDoS防护必备的7层防护算法:畸形包过滤、特征过滤、虚假源认证、应用层认证、会话分析、行为分析和智能限速。
    畸形报文过滤针对违反协议标准的报文进行检查和丢弃;特征过滤使用华为强大的指纹学习和匹配算法,可识别带有指纹的攻击流量,同时可针对自定义报文特征,如IP、端口等信息对报文进行过滤;虚假源认证和应用层源认证能验证流量源IP的访问意图和真实性;会话分析和行为分析能针对TCP连接和应用DDoS攻击的慢速、访问频率恒定、访问资源单一的特点进行统计分析,对具有较强躲避效果的僵尸网络DDoS攻击有良好的防范效果;智能限速则可以针对大流量正常行为进行限制和控制,保证服务器的可用性。
      正是因为有了“V-ISA”信誉安全机制,华为Anti-DDoS可提供可信赖的7层完整防护,逐层对攻击流量进行清洗过滤,实现对新型DDoS攻击的全面防护,同时确保客户业务访问不受影响。

————————————————————————————————————
好消息!华为云为云内用户免费提供5Gbps DDoS攻击流量清洗
DDoS基础防护服务为华为云内资源(弹性云服务器、弹性负载均衡),提供网络层和应用层的DDoS攻击防护(如泛洪流量型攻击防护、资源消耗型攻击防护),并提供攻击拦截实时告警,有效提升用户带宽利用率,保障业务稳定可靠

还等什么,立刻去开通:http://www.huaweicloud.com/product/antiddos.html




举报
分享

分享文章到朋友圈

分享文章到微博

建赟

发帖: 302粉丝: 17

级别 : 外部版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2018-4-13 21:27:36 沙发 显示全部楼层

过来学习一下


点赞 评论 引用 举报

安全菜鸟

发帖: 0粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-9-23 16:22:14 板凳 显示全部楼层

过来学习一下

点赞 评论 引用 举报

游客

富文本
Markdown
您需要登录后才可以回帖 登录 | 立即注册