ddos压力测试利用先进的反DDoS系统防御TB级流量攻击

  预防DDoS的简史
distributed rejection service(DDoS)使用大量有效的请求来消耗网络资源、停止响应服务,并使合法用户无法使用。目前,DDoS攻击是最强大的网络攻击防御之一。
DDoS已经存在于网络安全领域很久,是一种古老的攻击方法。预防DDoS也经历了不同的阶段。
核心最佳化
最初没有专业的流量清理服务来防止DDoS攻击。当时因为互联网带宽相对较小,所以大部分人都使用56K调制解调器接受拨号互联网连接。攻击者只能利用带宽的一小部分。一般来说,防御者可以通过优化内核参数和iptables来防止DDoS攻击。

采用高级DDoS防护系统防止TB级流量攻击
在此阶段,Linux内置的功能可防御DDoS攻击。例如,对于syn泛洪攻击,您可以调整net.ipv4.TCP_max_syn_backlog参数,控制SYN队列的上限以避免完全连接,并调整net.ipv4.tcp_tw_recycle和net.ipv4.tcp_fin_timeout,以便TCP能够控制数量TIME-WAIT和FIN-WAIT-2的对于ICMP泛洪攻击,Iptables会调整以关闭或限制ping数据包的速度,或过滤格式错误的数据包(不符合RFC协议)。但是,这种保护方法只优化一台服务器。随着资源攻击强度的提高,此保护方法无法有效抵抗DDoS攻击。
专业Anti-DDoS硬件防火墙
专业的DDoS防护硬件防火墙提供功耗优化、转发芯片、操作系统等。这些防火墙可以解决DDoS流量清洗要求。一般来说,IDC服务提供商购买防DDoS硬件防火墙,并将其部署到数据中心入口,以便为整个数据中心提供清理服务。这些整理服务的性能最初从每个100 MB逐渐发展到1 Gbit/s、10 Gbit/s、20 Gbit/s和100 Gbit/s以上。这些清理服务涵盖从第3层到第7层的各种攻击,如SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接洪水、CC攻击、DNS-FLOOD和反射攻击。
但是,这种DDoS防护方法对IDC服务提供商来说非常昂贵。每个数据中心的入口都需要擦拭设备,并需要专门的维护人员来维护设备和服务。此外,并非所有IDC都具有相同的清理和保护功能。某些小型数据中心的上行链路只能有20 GB带宽,这些删除设备不能重复使用。
云时代具有安全IP地址的高级Anti-DDoS系统
在云时代,服务部署在多种云或传统IDC上。提供的DDoS清理服务没有一致的标准。如果存在大量DDoS攻击流量,托管服务的数据中心将无法提供匹配的保护。为了保护服务不受影响,必须创造“黑洞”概念。采用黑洞机制后,如果服务器的攻击流量大于IDC的黑洞触发阈值,IDC将阻止该服务器访问互联网,从而防止持续攻击,并确保IDC的总体稳定性。
在这种情况下,具有安全IP地址的高级DDoS防护系统为数据中心提供了高带宽,将流量转换为这些IP地址,然后将清理的流量转发到用户的源工作站,从而提供了完整的DDoS防护解决方案。这种保护方法支持数据中心资源的重复使用,并使您能够更加关注数据中心预期的角色。这种保护方法还以基于SaaS的方式提供DDoS清理服务,从而简化DDoS防护。
在云时代,具有安全IP地址的高级DDoS防护系统可以满足高带宽需求。它还提供了用户隐藏源工作站和更改清理服务提供商的灵活性。
具有安全IP地址的高级Anti-DDoS系统的主要组件
带宽和网络
带宽和网络是DDoS保护的主要要求。为了有效地防御DDoS攻击,我们要做的第一件事就是建立高带宽数据中心。目前,中国的主流数据中心是一个多线BGP数据中心,拥有多个网络提供商的单一网络提供商(中国电信、中国联盟或中国移动)和多个网络提供商。
多线和单线数据中心
特性:
带宽和成本:单线数据中心的成本是合理的,但需要相对较高的带宽(TB级)来防止DDoS攻击。多线BGP数据中心的初始成本可能会更高,但为了防止DDoS攻击,只需要相对较低的带宽。
访问质量:单线数据受运营商之间网络的性能影响,因此具有平均访问质量。多线路提供最佳的BGP网络。
业务复杂性:用户需要多个IP地址才能进行多线访问。例如,中国电信、中国Unicom、中国移动IP等导致了较高的业务复杂性。多行连接只需要一个IP地址,业务复杂性相对较低。
灾难恢复:单线灾难恢复不当且效率低下。如果数据中心发生网络故障,灾难恢复仅支持从业务层过渡。BGP具有冗馀备份和环路删除功能。如果IDC供应商有多个BGP互连线路,则供应商可以在备份模式下分发路由。一条线路出现故障时,路由会自动切换到另一条线路。
另一个方面是最大带宽。目前,300 Gbit/s只是基本保护。保护级别最多一个Tbit/s或无限制的保护解决方案成为越来越多用户的选择。
多线BGP数据中心的TB级保护也将成为未来的发展目标。Aliyun致力于Anti-DDoS Pro,为客户提供卓越的访问质量和保护。
大型交通清洁集群
这是另一项关键技术。DDoS清洗的关键部分是拦截攻击流量。以下是常见的攻击类型和对策。
防止攻击
如果带宽足够,则应考虑如何清理DDoS攻击流量。一般来说,专业DDoS擦洗设备使用常用的保护和预防方法,可丢弃畸形消息和特定协议,验证源反射攻击,以及使用统计限速行为识别。攻击通常包括SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接洪水、CC攻击、DNS-FLOOD和反射攻击。
丢弃格式错误的数据包和特定协议非常简单。指定的方法可以防止反射攻击,并可用于不遵循RFC协议的消息。
源反射验证是防御SYN洪水攻击的对策。通常使用反向验证。清除设备使用特殊算法在TCP 3次握手中响应SYN-ACK消息时生成的序列号来代表服务器验证访问源的可靠性。该算法通过考虑多种因素(如双方的IP地址和端口)来验证ACK消息。如果访问是真实的和合法的,则允许连接流量。同样,为了防止复杂的CC攻击,您可以使用照片验证代码来确认潜在的攻击者是否是真正合法的客户。
统计速度限制和动作识别可根据黑名单、白名单、用户访问速度和动作启用速度控制。
群集体系结构
从目前的DDoS防护趋势来看,DDoS防护解决方案需要灵活的扩展以更好地应对攻击。这里我们必须提到100 GB接口的流行。一般用于流量负载平衡的散列基于5-元组的特性。如果攻击流量的5元组散列值不均匀,则更有可能发生拥塞。流量完全不发送到整理引擎。这也是大型集群清洗系统的重要组成部分。
预防性防御计划

针对DDoS攻击的防御对策计划也很重要。高效的计划需要多年的DDoS防护经验。对于新的攻击和紧急事件,快速分析和决策对解决问题起着关键作用。
负载平衡装置和安全组件
负载平衡是高级代理保护的关键技术。负载平衡包括第4层和第7层。
第4层负载平衡为每个客户的业务提供唯一的IP地址。第4层服务器负载平衡本身需要高性能和高可用性转发功能来抵抗连接攻击,并具有安全保护。
第7层负载平衡目标是web站点服务的代理保护。支持HTTP/HTTps和防御CC攻击的功能已集成到第7层负载平衡系统中。
专用IP地址:专用IP地址的一个优点是,如果一个IP地址受DDoS攻击,则另一个服务不受资源隔离的影响。
高可用性和可扩展性:根据应用程序负载,您可以在不中断服务连续性的情况下扩展服务。您可以根据需要增加或减少后端服务器的数量,从而扩展应用程序的服务能力。
安全功能:查看有关传入和传出流量的信息,并在域、会话或应用程序级别实现准确的DDoS保护。
最终DDoS保护需要将4层和7层的深度安全功能开发与大容量流量清理群集相结合。
实时数据分析系统
流量分析
让我们先看一下数据源。目前有很多可用的数据源机制。众所周知的NetFlow机制,用于样本分析和攻击检测。一对一的流量分割也可用于获取统计和检测到的所有流量。显然,后一种方法需要更多的资源和更有效的数据分析系统。需要更多开发和技术支持的系统通常可以提高分析效率。
应用意识
导入原始消息和数据后,必须区分应用程序。可以在IP级别、IP端口级别、域名级别或其他级别区分应用程序。不同的服务需要不同的预防方法。您必须定制专门针对特定服务的特性而设计的预防方案。
攻击分析
当前的DDoS攻击分析不再依赖于基于统计的分析算法。为攻击分析引入了行为认知和机器学习的理论和实践。这些算法有助于更好地抵抗DDoS攻击。您还必须考虑如何有效地将这些算法应用于用户的攻击保护操作。
结论
前面的内容反映了DDoS攻击保护的桶形理论。预防攻击的每个方面都影响总体保护、效果和效率。具有安全IP地址的未来高级DDoS防护系统必须具有灵活的带宽、高冗馀、高可用性、高访问质量和简化的业务集成。基于OPENAPI的DDoS保护与用户自动维护系统相结合,可为业务提供更高的安全性并促进业务增长ddos压力测试

相关推荐

发表评论

路人甲

网友评论(0)