伴隨互聯(lián)網(wǎng)世界的飛速發(fā)展,各企業(yè)在享受迅捷的網(wǎng)絡(luò)所帶來的用戶流量的同時,安全隱患卻無處不在。針對IP發(fā)起的DDoS(分布式拒絕服務(wù)攻擊)攻擊就是其中的一種,它們利用合理的服務(wù)請求來占用大量的服務(wù)器帶寬資源,把網(wǎng)站的合法訪客堵在外面,從而得不到服務(wù)器正常響應(yīng)。嚴重降低了服務(wù)器的可用性。
流量牽引的必要性
針對這種惡意流量攻擊的行為,最初防御DDoS攻擊都是根據(jù)防火墻上的抗DDoS模塊來實現(xiàn)硬防,當(dāng)面對超大規(guī)模的流量攻擊,防火墻自身構(gòu)造的瓶頸變得顯而易見。之后,人們采用在網(wǎng)絡(luò)中串聯(lián)進抗DDoS攻擊設(shè)備來抵抗更大規(guī)模的流量攻擊,但與此同時,這些增加設(shè)備也相當(dāng)于增加了潛在的故障點。而流量牽引技術(shù)通過疏導(dǎo)流量,有效提高網(wǎng)絡(luò)抗DDoS的容錯性。經(jīng)過流量牽引后到達抗DDoS設(shè)備上的流量經(jīng)過分流后必然有所減弱,流量越小抗DDoS攻擊設(shè)備分析和防御能力就會越強。當(dāng)針對server1的攻擊流量到達抗DDoS設(shè)備的時候,我們面臨兩種可能,一種是能夠防御的住,一種是防御不住。如果防御的住,那當(dāng)然就不存在問題了。如果防御不住呢? 最多會造成一個地址不能被訪問,將攻擊所能造成的危害降低到最小,不至于因為一個點的攻擊而導(dǎo)致整個網(wǎng)絡(luò)不能通信,這個代價相比而言是最小的。
流量牽引的拓撲原理
當(dāng)網(wǎng)絡(luò)中存在攻擊時,服務(wù)器遭受到了DDoS攻擊,Probe監(jiān)測到攻擊行為后,目標(biāo)為服務(wù)器1的流量將被轉(zhuǎn)發(fā)到抗DDoS設(shè)備,這些流量到達抗DDoS設(shè)備經(jīng)過有目的的檢測、甄別、過濾,其余的合法流量將繼續(xù)被轉(zhuǎn)發(fā)到R2。而此時其它的流量仍然保持原來的路線,即直接從R1轉(zhuǎn)發(fā)到R2。從而這些攻擊流量和正常流量實現(xiàn)分離,防御性能高的服務(wù)器設(shè)備被用來專門抵抗DDoS攻擊,而多數(shù)正常流量盡可能的不受到攻擊的干擾,實現(xiàn)正常的訪問。
流量牽引技術(shù)的實現(xiàn)
流量牽引拓撲從路由器到內(nèi)部網(wǎng)絡(luò)變成了雙鏈路,而且又增加了一個新設(shè)備——Probe。假設(shè)服務(wù)器1正在受到攻擊。Defender是在“黑洞”的基礎(chǔ)上發(fā)展起來的,在已有技術(shù)的基礎(chǔ)上加強了對應(yīng)用層DDoS的防御。由于對針對服務(wù)器1的攻擊流量被切換到了Defender上,外網(wǎng)到服務(wù)器2和服務(wù)器3的訪問將不受到干擾,攻擊的壓力落在了Defender和服務(wù)器1上。這樣我們就把被攻擊事件限制在了局部。通常DDoS攻擊目標(biāo)明確,而且是持續(xù)不斷的不定期的騷擾。必要的時候也可以通過Probe的監(jiān)測功能來追蹤攻擊來源,Probe可以收集到整個網(wǎng)絡(luò)的netflow信息,通過對這些信息的分析,判斷出攻擊流量進入網(wǎng)絡(luò)的入口。層層追蹤鎖定攻擊來源的范圍。
DDoS防御需要一系列設(shè)備的聯(lián)合部署、分工合作,同時也需要專業(yè)的技術(shù)人員進行合理架構(gòu)和防攻判斷,從而實現(xiàn)最大的防御效果和最輕微的網(wǎng)絡(luò)影響。
掃一掃 加微信咨詢
