剛剛有幾個客戶說受到CC***,附帶DDoS***,接入了CDN後,防不住,問我高防是否可以防的住?我說當然可以啦,那我們就分享下選擇DDoS防禦的幾個關鍵因素是什麼?DDoS防禦不只是技術或服務的滿足。底層網絡的穩定性和可靠彈性是網絡防護的重要組成部分。需要對其進行全方位的評估,以此來確保能承受多麼複雜的DDoS***時不會受到任何影響。DDOS防禦時需要考慮的關鍵因素:
1、受DDoS***的防護時,需要考慮是否可以做到實時防護大流量***。在過去的幾年裏,DDoS***量逐漸在增長,每年的***峯值都會達到新的高峯。目前,最大的DDoS***是針對GitHub的基於memcache的***。這種***達到了大約1.3兆位/秒(Tbps)和1.26億個包/秒(PPS)的峯值。由此可以看出選擇防護的大小很重要。所以防禦時避免大流量的***,我們清洗流量都需要選擇足夠覆蓋***量並且要有多餘的空間來容納其他有可能發生***的防護。
2、擁有大量容量這遠遠是不夠的,重要的還有專門用於清洗,過濾惡意流量的技術,一些情況下大家會採用邊緣的安全方法,比如選擇對其內容分發網絡的CDN進行防禦。如果是一些比較小的***流量,那有可能就防住了,但遇見大一點的流量以及CC併發時,就無計可施了。因此要告訴大家CDN主要是用來加速緩存的,針對於CC防禦不是它的強項。那麼有的人就會心存疑問,我主要有CC***的時候也有一些DDOS***怎麼辦?那就選擇這兩種都防的安全產品。一些更謹慎的做法是將重點都放在網絡上,網絡的容量專門用於DdoS清洗,並與其他服務(如CDN、WAF)隔離。
3、根據其***大小部署DDOS防禦的解決方案,確保服務的可靠性及響應速度。基於DDOS防護利用CNME解析域名,隱藏客戶源IP,***打到防護上通過清洗,過濾惡意的流量,將正常流量回源至客戶源服務器上,這個過程就要考慮延遲性。影響延遲的主要是距離導致,所以這個時候安全防禦公司就要考慮到分佈BGP優化線路機房的情況,即使有一定的延遲,那也需要選擇最小化的延遲。
4、服務器的選擇也很關鍵,一般都是需要選擇穩定性以及分佈的網絡節點很強的,要以最大響應速度以及最大彈性爲基礎,不能說你發送了請求,然後對方需要確認提交表單流程什麼的,不能及時處理。所以鑑於避免發生此類事件,一般會基於任意類型路由在IP地址和網絡節點之間建立一對多的關係(即,有多個網絡節點具有相同的IP地址)。當一個請求被髮送到網絡時,可以自主確定哪個網絡節點是最優的目的地,然後進行切換。
所以DDOS防禦不只是技術和服務,還有網絡基礎設施也很重要。墨者安全建議根據自己的企業選擇合適的防護,一般小的網站類型的***量不是特別大,但遊戲以及金融行業的一定要慎重,如有***就會比較高,要選擇大容量的防護去做防禦,避免不必要的損失。
