随着互联网的发展,DDoS攻击流量的峰值越来越高,从1G到10G,从10G到100G。2017年,360的安全团队检测到一次流量空前的DDoS攻击,导致全球多台云服务器崩溃。本次攻击最高流量接近1.4T。DDoS攻击正式进入T级时代。虽然此次检测T级流量并未得到广泛认可,但在2018年初,GitHub遭遇了1.35TB/s的峰值。消息上了热搜。据报道,在不到一周的时间里,黑客试图以每秒1.7Tbps的流量攻击一个实体。系统。2020年,亚马逊宣布成功防御2.3T峰值攻击流量,再次刷新纪录。人们这才意识到,T级DDoS攻击离我们越来越近了。DDoS防御的历史DDoS是一种古老的攻击方式,其防御方式也经历了几个阶段。内核优化时代在互联网的野蛮时代,带宽非常小,大多数用户通过56K调制解调器拨号上网。虽然当时还没有DDoS云清洗服务来抵御DDoS攻击,但是黑客可以利用的带宽也很少。对于防御者来说,只有优化内核参数和iptables才能解决DDoS攻击。在DDoS频繁发生的行业,也可以通过编写内核防护模块来提升抗D能力。硬件防火墙时代Anti-DDoS硬件防火墙已经成为这个时代主流的Anti-DDoS产品。抗DDoS硬件防火墙通过对功耗、转发芯片、操作系统等部分进行优化,达到防御DDoS的目的。抗DDoS硬件防火墙可抵御100GBPS甚至更高的DDoS攻击,对SYN-FLOOD、CC攻击、DNS-FLOOD等主流攻击方式具有强大的防御能力。但是,这种方法的成本相当高。虽然攻击者无法使服务器瘫痪,但防御者往往要付出高昂的代价。DDoS云清洗时代云计算时代,防D有了更好的解决方案。当检测到异常流量,或超过IDC机房流量阈值时,先将流量转移到云平台进行清洗,再将清洗后的流量转发回用户真实源站,从而降低DDoS攻击的复杂性简化了保护,降低了成本。也掉了很多。那么,DDoS云清洗是如何防御DDoS攻击的呢?:防御方式带宽理论上,只要带宽足够大,任何DDoS攻击都不会影响业务的正常运行。对于国内的DDoS场景,300Gbps的防护能力属于入门级别,部分云服务商也提供1Tbps以上的防护能力。大流量清洗集群DDoS云清洗的一个关键技术是如何拦截攻击流量。攻击防护、集群架构、操作系统、负载均衡、数据分析系统是主要的五种方法。(1)攻击防护大多数专业DDoS清洗设备的防护手段包括:畸形报文、特定协议丢弃、源弹跳鉴权系统、统计限速、行为识别等,对主流DDoS攻击手段有效。(2)集群结构DDoS云清洗必须采用具有弹性扩展能力的集群结构。(3)操作系统完善的操作系统是对抗DDoS攻击最重要的环节。云服务商需要积累多年对抗DDoS的经验,同时能够尽快发现新型攻击,快速分析并找到解决方案。(4)负载均衡负载均衡技术是DDoS云清洗的关键技术,包括4层负载均衡和7层负载均衡。四层负载均衡技术,为每个客户业务提供专属IP。其自身的转发能力必须是高性能、高可用的,还必须具备安全防护能力,以抵御连接型攻击。七层负载均衡技术、网站业务的代理和防护、对HTTP/HTTPS协议的支持、对各种CC攻击的防护,都将集成在七层负载均衡系统中。(5)数据分析系统必须进行流量分析、应用程序识别和攻击分析,这在DDoS攻击防护中必须完成。目前主流的DDoS清洗已经摆脱了传统的统计分析算法,引入了行为识别、机器学习等方法,可以更好的帮助客户抵御攻击。
