企业遇上500G峰值 DDOS可采取的防御措施?

简介: 随着DDoS攻击的衍变,对于防御这一工作也增加了更大的难度。相信很多企业遇见DDoS攻击时,都会想着先让自己公司的安全人员在现在的网络基础设施上想办法解决。的确有能力的企业根据自己的一些基础防护,可以起到一定的到缓解作用,到目前为止,针对DDOS攻击是没有完全可以杜绝的解决方案,简单而言众多防御只能起到缓解,却不可以完全的根治DDOS攻击。

随着DDoS攻击的衍变,对于防御这一工作也增加了更大的难度。相信很多企业遇见DDoS攻击时,都会想着先让自己公司的安全人员在现在的网络基础设施上想办法解决。的确有能力的企业根据自己的一些基础防护,可以起到一定的到缓解作用,到目前为止,针对DDOS攻击是没有完全可以杜绝的解决方案,简单而言众多防御只能起到缓解,却不可以完全的根治DDOS攻击。比如防火墙,高防服务器等安全产品虽然拥有DDOS防护的能力,但这只是针对小流量,遇见大的流量完全束手无策。尤其是针对大的CC并发攻击更是没有脾气。
因为宽带网速的提升,DDOS流量攻击也随之越来越高,每个月的500G左右的攻击流量在某些特定的行业也是频频发生,那么遇见500G左右的攻击企业公司该如何应对防御呢?可以肯定的是需要进行多层防御才可以抵抗。
首先是ISP/WAN层,这层一般是对终端用户不可见的,而且中小企业一般是不会接触到这层的。不过对于一些大型的互联网企业、公有云企业这层是不可缺少的,主要是当流量超过本身能处理的极限时,就需要借助互联网服务提供商的资源。一些大型互联网企业本身建设的带宽是比较大的,但这面对大流量DDOS攻击的时候还是没不能完全拥有抵抗的能力。实际现在云计算服务器厂商,以及一部分的安全防护厂商面对500G左右的攻击,除过需要自身的防护过滤清洗能力,依然是需要依靠运营商的BGP优化线路。虽然有些服务器厂商,针对大流量攻击直接进行黑洞路由操作,但这样做除了将攻击流量黑洞,也会将部分真实用户的访问一起黑洞掉,对用户体验是一种打折扣的行为。对公司的信誉也有一定的影响,业务也会损失。相比,在不增加延迟的情况下,靠近攻击源位置对攻击进行过滤清洗,回源的方式对于用户的体验会好很多。不过这种高防防御比起直接黑洞的价格会高一点点。
然后是CDN/Internet层,注明下CDN并不是专业抗DdoS攻击的,只是对于Web类应用服务器而言,刚好有一点的抗DDoS能力。以12306的抢票为例,春节放票时访问量非常大,数据不亚于DDoS的CC并发,而在平台的CDN层面利用验证码会过滤绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。CDN一般是先通过自身的带宽硬抗,抗不了会通过动态请求回到源站,如果源站前端的抗DDoS能力或者源站前的带宽比较有限,就会被彻底DdoS,造成拒绝服务。
这就要预先设置好网站的CNAME,将域名指向安全防护厂商的DNS服务器,在检测到攻击发生时,域名指向自己的清洗集群,然后再将清洗后的流量回源,在对攻击流量进行分流的时候,会提前准备好一个域名到IP的地址池,当IP被攻击时封禁并启用地址池中的下一个IP,如此往复。不过CDN仅对Web类服务有效,对游戏类TCP直连的服务无效的。
对于Datacenter层的防御主要是将ADS设备部署在出口位置,达到近源清洗 ,这个主要是根据特定的业务场景确认阈值,然后将触发机制建立的阈值上,通过策略,ADS可以自动缓解一些常见的DDOS攻击类型,但是一部分衍变的就需要人工识别。
最后是OS/APP层,主要是将ADS设备过滤掉的流量再一次的进行过滤和缓解,为应用层协议ADS没防住后做的补充防护。目前互联网公司应用最多的是Web服务,所以他们一般会选择在系统层面做应用层的DDoS防护,
以上的基层防御基本都是建立在足够大的带宽下,因此墨者安全也会常常遇见客户说带宽不够,一般小流量的不会出现这种问题,大流量攻击的时候必须要加带宽,然后才能实现缓解防护。当然如果是大流量还是建议找专业的安全防护公司,及时处理将损失降到最低。网络安全人人受益,维护网络安全人人有责。

相关文章
|
5月前
|
运维 安全 网络安全
DDoS攻击升级,解读防御DDoS攻击的几大有效方法
DDoS攻击升级,解读防御DDoS攻击的几大有效方法
138 0
|
4月前
|
弹性计算 负载均衡 监控
防御DDoS攻击:策略与技术深度解析
【6月更文挑战第12天】本文深入探讨了防御DDoS攻击的策略和技术。DDoS攻击通过僵尸网络耗尽目标系统资源,特点是分布式、高流量和隐蔽性。防御策略包括监控预警、流量清洗、负载均衡、弹性伸缩及灾备恢复。技术手段涉及IP信誉系统、深度包检测、行为分析、流量镜像与回放及云防护服务。综合运用这些方法能有效提升抗DDoS攻击能力,保障网络安全。
|
15天前
|
云安全 SQL 安全
揭秘DDoS与CC攻击的异同与防御策略!
本文详细解析了CC攻击与DDoS攻击这两种常见网络威胁,探讨了它们的异同及防御策略。通过一个网站遭遇攻击的真实案例,揭示了CC攻击的隐蔽性和DDoS攻击的强大破坏力。文章还介绍了德迅云的高防服务器解决方案,强调了加强网络安全意识和技术防护的重要性,帮助网站运营者有效抵御网络攻击,确保业务稳定运行。
|
2月前
|
监控 网络协议 Linux
在Linux中,什么是DDoS攻击?如何在Linux中防御DDoS攻击?
在Linux中,什么是DDoS攻击?如何在Linux中防御DDoS攻击?
|
2月前
|
云安全 安全 网络安全
云安全防护指南:防御DDoS攻击的几大有效方法
云安全防护指南:防御DDoS攻击的几大有效方法
91 0
|
4月前
|
弹性计算 负载均衡 监控
DDoS 攻击与防御技术
DDOS攻击一直是互联网通讯的一大诟病,它跟互联网通讯方式相互依存,下面介绍一些关于防ddos攻击的方案和想法。
194 4
|
4月前
|
运维 安全 网络安全
DDoS攻击增速惊人,谈谈防御DDoS攻击的几大有效方法
DDoS攻击增速惊人,谈谈防御DDoS攻击的几大有效方法
110 0
|
5月前
|
机器学习/深度学习 监控 安全
【网安】DDoS攻击:方法、影响与防御策略
【网安】DDoS攻击:方法、影响与防御策略
824 0
|
5月前
|
Linux 网络安全 Windows
如何通过隐藏服务器真实IP来防御DDOS攻击
如何通过隐藏服务器真实IP来防御DDOS攻击
|
5月前
|
运维 安全 网络安全
一文读懂DDoS,分享防御DDoS攻击的几大有效方法
一文读懂DDoS,分享防御DDoS攻击的几大有效方法
116 0
下一篇
无影云桌面