随着互联网的发展,DDoS从1G到10G,从10G再到100G。
2017年,360安全团队检测到了前所未有的流量规模DDoS攻击导致全球多个云服务器崩溃,最高流量接近1.4T。DDoS攻击正式进入T级时代。
尽管这次测试T水平流量没有得到广泛认可,但在2018年初,GitHub遭受峰值达1.35TB/秒新闻上了热搜,不到一周,黑客每秒都在传播1.7Tbps流量试图攻击一个实体系统。亚马逊于2020年宣布成功抵抗2.3T攻击流量的量,再次刷新历史记录。直到那时,人们才意识到,T级别DDoS攻击离我们越来越近了。
DDoS防御历史
DDoS它的防御方式作为一种古老的攻击方式,也经历了几个阶段。
内核优化时代
在互联网蛮荒时代,带宽很小,大多数用户通过56K的modem拨号上网虽然当时没有类似之处DDoS云清制云清洗服务DDoS但是黑客可以使用的带宽也很小。
对于防御方来说,只需优化内核参数,iptables就能解决DDoS攻击。DDoS频繁的行业也可以通过编写核心保护模块来提高抗性D能力。
硬件防火墙时代
Anti-DDoS硬件防火墙已成为这个时代的主流DDoS产品。
Anti-DDoS硬件防火墙优化功耗、转发芯片、操作系统等部件,实现防御DDoS的目的。Anti-DDoS硬件防火墙能抵抗100GBPS甚至更高的DDoS攻击,主流攻击,如SYN-FLOOD、CC攻击、DNS-FLOOD都有很强的防御能力。
然而,这种方法的成本相当高。虽然攻击者不能瘫痪服务器,但防御者往往会付出巨大的代价。
DDoS云清洗时代
云计算时代,抗D有更好的计划。当检测到异常流量或超过时IDC当机房的流量阈值时,首先将流量转移到云平台进行清洁,然后将清洁流量转发回用户的真实源站,以便DDoS简化了防护的复杂性,降低了成本。
那么,DDoS如何抵抗云清洗?DDoS攻击呢?
防御方式
带宽
理论上,只要带宽足够大,任何东西DDoS所有这些都不能影响业务的正常运行。对于国内DDoS情况来说,300Gbps防护能力是入门级的,一些云服务提供商也会提供1Tbps上述保护能力。
大流量清洗集群
DDoS攻击防护、集群架构、操作系统、负载平衡和数据分析系统是云清洗的关键技术之一。
(1) 攻击防护
绝大多数专业DDoS清洗设备的保护方法包括:畸形包、特定协议丢弃、源反弹认证体系、统计限速、行为识别等DDoS攻击方法有效。
(2) 集群结构
DDoS云清洗必须采用集群结构,具有弹性扩容能力。
(3) 操作系统
完善的操作体系是对抗DDoS攻击最重要的环节。云服务制造商需要多年的时间DDoS积累对抗经验,同时也能尽快发现新的攻击,快速分析,找到解决办法。
(4)负载均衡
负载均衡技术是DDoS云清洗的关键技术包括4层负荷平衡和7层负荷平衡。
- 4层负载平衡技术为每个客户业务提供独家享受IP,本身的转发能力应具有高性能、高可用性和安全防护能力,能够对抗连接攻击。
- 7层负荷平衡技术是针对网站业务的代理和保护HTTP/HTTPS各种协议的支持CC攻击的防护,都会集成在7层负载均衡的系统里面。
(5) 数据分析系统
对流量进行分析、应用识别,DDoS必须做到攻击防护。目前主流DDoS清洁已经摆脱了传统的统计分析算法,引入了行为知识、机器学习等方法,可以更好地帮助客户攻击和保护。