- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業務經營許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯網協會理事單位
- 安全聯盟認證網站身份V標記
- 域名注冊服務機構許可:滇D3-20230001
- 代理域名注冊服務機構:新網數碼
相關文章
云南公布第二批免費向社會提供信息技術服務企業名單 國信辦再關閉31家違規網站 云南省2019年國家網絡安全周在麗江啟動,藍隊云獲頒“最佳技術支持獎” 中國互聯網企業赴美上市規模預計今年或減半 云南省首屆互聯網網絡攻防演練大賽舉行
一文把DDoS攻擊的防御策略說清楚了
2025-03-25 15:02:57
1190
網絡所及之處,都有網絡攻擊。
業內有一種說法,都說DDoS攻擊是無解的。真的是這樣的嗎?
面對棘手的 DDoS 攻擊,目前業內有哪些防御手段?各種防御手段的特點是什么?如何進行選擇與搭配?
本期,藍隊云將圍繞這三個問題,為您詳細介紹應對 DDoS 攻擊的三種典型防御手段,分別是黑洞路由、高級防護和近源清洗。
1、黑洞路由
首先我們來介紹第一種防御手段——黑洞路由。顧名思義,就是當 DDoS 攻擊發生后,為了防止影響進一步擴大,客戶網絡向運營商網絡通告一條關于受攻擊服務器 IP 的黑洞路由,運營商網絡收到黑洞路由后,隨之停止對外通告關于該 IP 的路由,這時受攻擊的 IP 地址便像從互聯網中消失了一般,無法再被任何主機訪問到——相當于在互聯網上制造了一個路由的“黑洞”。
為了方便您更好地理解,筆者為您舉個例子。如下圖所示,客戶網絡中有 A、B、C、D 四臺服務器,共用某運營商提供的互聯網接入服務。突然,服務器 A 受到了來自互聯網的 DDoS 攻擊,服務器 A 很快就因為負載過重而癱瘓,無法對外提供服務了。更要命的是,由于攻擊流量持續洶涌而至,客戶網絡上連的互聯網出口也出現了嚴重的流量擁塞,這使得未被攻擊的服務器 B、C 和 D 也無法正常對外提供服務。
圖片:DDoS 攻擊示意圖
就在這千鈞一發之際,客戶網絡對上游運營商“大吼”一聲:“服務器 A 已死!”。運營商收到消息后,也隨之互聯網的四面八方“叫道”:“服務器 A 已死,別再通過我找他了!”。于是,一傳十,十傳百,整個互聯網中都傳遍了服務器 A 的死訊。
就這樣,互聯網上所有的主機,包括“肉機”和正常電腦,均找不到服務器 A 了,DDoS 攻擊流量和正常流量在互聯網的邊緣便被丟棄,網絡擁塞的情況也隨之解除,正如下圖所示。
圖片:黑洞路由的工作原理示意圖
這就是黑洞路由的工作原理。細心的讀者可能會發現,黑洞路由的副作用非常大,因為正常流量也受到了影響。因此,用黑洞路由防御 DDoS 攻擊的本質是“棄車保帥”,通過犧牲被攻擊的服務器,解除網絡擁塞,來保全客戶網絡。
2、高級防護
黑洞路由雖然有效制止的 DDoS 攻擊,但畢竟有著不小的副作用。有沒有副作用小一些防御方式呢?答案是高級防護。
如下圖所示,高級防護需要通過清洗中心來實現。它的工作原理是這樣的:首先,清洗中心與互聯網通過超大帶寬相連接,可以承諾大流量的 DDoS 攻擊;其次,清洗中心部署了流量分析和過濾的設備,能對將攻擊流量和正常流量分辨出來,并過濾攻擊流量;再者,清洗中心類似中介,它會向互聯網通告客戶網絡的路由,將訪問客戶網絡的流量引到自己身上。如此一來,當發生 DDoS 攻擊時,清洗中心便能利用強大的帶寬容量以及流量分析過濾能力“扛住”攻擊,只將正常的訪問請求發送給服務器 A,進而既保護了服務器 A,又保護了整個客戶網絡。
通俗地講,清洗中心就像是客戶網絡的保鏢兼經紀人,所有需要訪問客戶網絡的流量均需要經過保鏢,武藝高強的保鏢能為客戶擋住所有的不速之客,而只給好人放行。
圖片:高級防護的工作原理示意圖
用高級防護對抗 DDoS 攻擊的本質是“用資源換安全”,通過大帶寬的網絡和高性能的流量分析過濾系統,“硬扛”DDoS 攻擊。此外,高級防護加長了流量的路徑,引入了清洗中心,這會在一定程度上增加業務的時延,可能會影響用戶的訪問體驗。
3、近源清洗
高級防護雖然能有效地保護被攻擊的服務器以及客戶網絡,但那畢竟是以消耗帶寬資源和算力資源為代價的。有沒有更加智能而節省資源的方式呢?答案是近源清洗。
如下圖所示,近源清洗由清洗調度中心和運營商的邊緣網絡協同實現。它的工作原理是這樣的:清洗調度中心會對互聯網中的流量進行實時監測分析,一旦發現 DDoS 攻擊流量,便將其引導到就近的邊緣節點進行分布式的清洗,從源頭上壓制 DDoS 攻擊,達到“四兩拔千金”的效果。
圖片:近源清洗的工作原理示意圖
需要指出的是,近源清洗需要“云邊協同”才能實現,即不僅要有對流量的分析能力,還需要能調度邊緣的網絡設備對流量進行過濾,因此近源清洗是運營商獨特的優勢。也正因此,它的作用范圍僅限于運營商的互聯網的自治域內——因為一家運營商無法調度另一家運營商的網絡設備。
目前,國內三大運營商都推出的各自的近源清洗產品,分別是中國電信的云堤,中國聯通的云盾,以及中國移動的和盾。
黑洞路由、高級防護和近源清洗是目前業內三種防御 DDoS 攻擊的有效手段, 由于性能效果、適用場景和產品資費不盡相同,客戶可根據需要選擇性地搭配使用。
為了方便查閱,藍隊云制作了以下表格,列舉了各種 DDoS 防御手段的特點。
表格:三種防御 DDoS 攻擊手段的對比
藍隊云是專業的云計算及網絡網絡安全服務商,成立至今已經15年,始終致力于為政府、企事業單位提供穩定、安全、可靠、高性價比的云計算服務及全方位深度定制的網絡安全服務。藍隊云提供漏洞掃描、風險評估、攻防演練、滲透測試、應急響應、安全運維、等保合規、商用密碼合規等專業的網絡安全及服務,歡迎大家咨詢了解。
