企业遇上500G峰值 DDOS可采取的防御措施?-阿里云开发者社区

开发者社区> 墨者安全> 正文

企业遇上500G峰值 DDOS可采取的防御措施?

简介: 随着DDoS攻击的衍变,对于防御这一工作也增加了更大的难度。相信很多企业遇见DDoS攻击时,都会想着先让自己公司的安全人员在现在的网络基础设施上想办法解决。的确有能力的企业根据自己的一些基础防护,可以起到一定的到缓解作用,到目前为止,针对DDOS攻击是没有完全可以杜绝的解决方案,简单而言众多防御只能起到缓解,却不可以完全的根治DDOS攻击。
+关注继续查看

随着DDoS攻击的衍变,对于防御这一工作也增加了更大的难度。相信很多企业遇见DDoS攻击时,都会想着先让自己公司的安全人员在现在的网络基础设施上想办法解决。的确有能力的企业根据自己的一些基础防护,可以起到一定的到缓解作用,到目前为止,针对DDOS攻击是没有完全可以杜绝的解决方案,简单而言众多防御只能起到缓解,却不可以完全的根治DDOS攻击。比如防火墙,高防服务器等安全产品虽然拥有DDOS防护的能力,但这只是针对小流量,遇见大的流量完全束手无策。尤其是针对大的CC并发攻击更是没有脾气。
因为宽带网速的提升,DDOS流量攻击也随之越来越高,每个月的500G左右的攻击流量在某些特定的行业也是频频发生,那么遇见500G左右的攻击企业公司该如何应对防御呢?可以肯定的是需要进行多层防御才可以抵抗。
首先是ISP/WAN层,这层一般是对终端用户不可见的,而且中小企业一般是不会接触到这层的。不过对于一些大型的互联网企业、公有云企业这层是不可缺少的,主要是当流量超过本身能处理的极限时,就需要借助互联网服务提供商的资源。一些大型互联网企业本身建设的带宽是比较大的,但这面对大流量DDOS攻击的时候还是没不能完全拥有抵抗的能力。实际现在云计算服务器厂商,以及一部分的安全防护厂商面对500G左右的攻击,除过需要自身的防护过滤清洗能力,依然是需要依靠运营商的BGP优化线路。虽然有些服务器厂商,针对大流量攻击直接进行黑洞路由操作,但这样做除了将攻击流量黑洞,也会将部分真实用户的访问一起黑洞掉,对用户体验是一种打折扣的行为。对公司的信誉也有一定的影响,业务也会损失。相比,在不增加延迟的情况下,靠近攻击源位置对攻击进行过滤清洗,回源的方式对于用户的体验会好很多。不过这种高防防御比起直接黑洞的价格会高一点点。
然后是CDN/Internet层,注明下CDN并不是专业抗DdoS攻击的,只是对于Web类应用服务器而言,刚好有一点的抗DDoS能力。以12306的抢票为例,春节放票时访问量非常大,数据不亚于DDoS的CC并发,而在平台的CDN层面利用验证码会过滤绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。CDN一般是先通过自身的带宽硬抗,抗不了会通过动态请求回到源站,如果源站前端的抗DDoS能力或者源站前的带宽比较有限,就会被彻底DdoS,造成拒绝服务。
这就要预先设置好网站的CNAME,将域名指向安全防护厂商的DNS服务器,在检测到攻击发生时,域名指向自己的清洗集群,然后再将清洗后的流量回源,在对攻击流量进行分流的时候,会提前准备好一个域名到IP的地址池,当IP被攻击时封禁并启用地址池中的下一个IP,如此往复。不过CDN仅对Web类服务有效,对游戏类TCP直连的服务无效的。
对于Datacenter层的防御主要是将ADS设备部署在出口位置,达到近源清洗 ,这个主要是根据特定的业务场景确认阈值,然后将触发机制建立的阈值上,通过策略,ADS可以自动缓解一些常见的DDOS攻击类型,但是一部分衍变的就需要人工识别。
最后是OS/APP层,主要是将ADS设备过滤掉的流量再一次的进行过滤和缓解,为应用层协议ADS没防住后做的补充防护。目前互联网公司应用最多的是Web服务,所以他们一般会选择在系统层面做应用层的DDoS防护,
以上的基层防御基本都是建立在足够大的带宽下,因此墨者安全也会常常遇见客户说带宽不够,一般小流量的不会出现这种问题,大流量攻击的时候必须要加带宽,然后才能实现缓解防护。当然如果是大流量还是建议找专业的安全防护公司,及时处理将损失降到最低。网络安全人人受益,维护网络安全人人有责。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
企业遭到DDoS攻击可以通过哪些手段进行防御?
DDoS攻击是现在最常见的一种网络攻击方式,主要通过大规模流量攻击目标服务器,导致服务器性能耗尽而崩溃。随着5G时代的到来,DDoS攻击的数量和规模都越来越大。攻击成本越来越低导致更多的不法分子去使用DDOS攻击竞争对手或敲诈勒索。今天墨者安全就来分享一下面对DDOS攻击该如何防御?
1762 0
DDoS攻击日益加剧,互联网企业该如何应对?
最近这几年,对我们的生活影响最大改变最多的就是互联网。互联网的不断发展在给人们带来各种便利的同时,也带来了各种网络安全威胁,网络攻击从互联网诞生开始就从未停止。DDoS攻击是目前互联网上最常见的一种攻击方式
1433 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4477 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7748 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
443 0
调查 | 大多数企业漏洞根植在固件中
本文讲的是调查 | 大多数企业漏洞根植在固件中,企业文化和对安全的整体态度,是固件漏洞的主要贡献者——信息系统审计与控制协会(ISACA)
1129 0
企业遇上500G峰值 DDOS可采取的防御措施?
随着DDoS攻击的衍变,对于防御这一工作也增加了更大的难度。相信很多企业遇见DDoS攻击时,都会想着先让自己公司的安全人员在现在的网络基础设施上想办法解决。的确有能力的企业根据自己的一些基础防护,可以起到一定的到缓解作用,到目前为止,针对DDOS攻击是没有完全可以杜绝的解决方案,简单而言众多防御只能起到缓解,却不可以完全的根治DDOS攻击。
1330 0
+关注
墨者安全
墨者安全-网站高防DDOS高防无限CC防护专家
46
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载