巧妙化解DDoS攻擊

申請免費試用、咨詢電話：400-8352-114

對于在線企業(yè)特別是電信運營商數據中心網絡來說，分布式拒絕服務攻擊（DDoS）的出現無疑是一場災難，對于它的有效防護一直是網絡應用中的一個難題。

一直以來DDoS是人們非常頭疼的一個問題，它是一種很難用傳統(tǒng)辦法去防護的攻擊手段，除了服務器外，帶寬也是它的攻擊目標。和交通堵塞一樣，DDoS已經成為一種網絡公害。

傳統(tǒng)防護：有心無力

防止DDoS攻擊，比較常用的有黑洞法、設置路由訪問控制列表過濾和串聯(lián)防火墻安全設備等幾種。

黑洞法：具體做法是當服務器遭受攻擊之后，在網絡當中設置訪問控制，將所有的流量放到黑洞里面去扔掉。這個做法能夠在攻擊流量過來的時候，將所有攻擊拒之門外，保證對整個骨干網不造成影響，但它同時也將正常流量擋在了門外，造成服務器無法向外部提供服務，中斷了與用戶的聯(lián)系。

設置路由訪問控制列表過濾: 這種方法企業(yè)用戶自己不去部署，而是由電信等服務提供商對骨干網絡進行配置，在路由器上進行部署?，F在路由器上的部署就是兩種方式，一種是ACL——作訪問控制列表，還有一種方式是做數據限制。這兩種方式都可以歸結為ACL，它的最大問題是如果攻擊來自于互聯(lián)網，將很難去制作面向源地址的訪問列表，因為源地址出處帶有很大的隨意性，無法精確定位，惟一能做的就是就面向目的地址的ACL，把面向這個服務器的訪問控制量列出來，將所有請求連接的數據包統(tǒng)統(tǒng)扔掉,用戶的服務將受到極大影響。另外一個缺陷就是在電信骨干上設置這樣的訪問控制列表將給訪問控制量管理帶來極大困難。而且采用這種方法還帶有很大的局限性，它無法識別虛假和針對應用層的攻擊。

串聯(lián)的防火墻安全設備:對付DDoS攻擊，還有一種是采用防火墻串聯(lián)的方法，對于流量已達幾十個G的運營商骨干網絡來說，由于防火墻能力和技術水平所限，幾個G的防火墻設備很容易就會超載導致網絡無法正常運行，而且具有DDoS防護功能的防火墻吞吐量會更低，即使是防火墻中的“頂尖高手”也是有心無力，無法擔此重任。另外采用這樣的方法無法保護上行的設備，缺乏擴展性，還有就是無法有效的保護面向用戶的資源。

解決之道在“智能”

從以上分析不難看，傳統(tǒng)對付DDoS的方法效率不高，而且還存在著一些無法克服和解決的問題。智能化DDoS防護系統(tǒng)來自Riverhead公司（已被思科收購）的創(chuàng)新技術，其智能化DDoS防護系統(tǒng)是由檢測器和防護器兩部分構成。它具有使用方便，部署簡單，無需改變網絡原先構架，實行動態(tài)防護等優(yōu)點，從根本上解決了DDoS的防護問題。

防護器采用并聯(lián)方式連接在骨干網絡當中，對網絡結構沒有任何影響。當網絡中有不良流量對網絡進行攻擊時，檢測器會向防護器發(fā)出報警，這樣DDoS防護器就能知道網絡中服務器被攻擊的情況，攻擊的目的以及來自哪些地址。這時防護器立即啟動開始工作，通知路由器，將面向這些地址的流量全部都發(fā)送到防護器，暫時接管了網絡中的這些數據流量，并對其進行分析和驗證，所有非法惡意流量將在這里被截獲丟棄，而正常的流量和數據將被繼續(xù)傳送到目的地。

防護器采用了一種被稱為MVP（多次確認流程）的專利技術，通過5層分析和過濾，有效識別和阻攔DDoS攻擊。防護器采用專門的硬件結構來進行處理，使用了專用芯片，效率極高。在測試中，當網絡流量達到600兆左右的時候，它的CPU占用率才1%，延時1毫秒左右，完全能勝任大型骨干網絡的DDoS防護。

來源：CCW