DDoS即分佈式拒絕服務攻擊,這是一場關乎資源的較量,攻擊者通過自己控制的大量殭屍主機,向目標設施(服務器、運營商網絡和基礎架構等)發起洪水猛獸般的流量型攻擊, 或是連綿不絕的應用型攻擊。
如果將受害者比做一個飯店,那麼流量型攻擊就如同堵住飯店的門口,導致正常客戶無法進去用餐。常見的流量型攻擊有UDP Flood,NTP Flood等。對應的應用型攻擊就如同一羣無賴,綁架了飯店裏的服務員或廚師,導致正常客戶無法正常用餐。常見的應用型攻擊有DNS Request Flood, CC Flood等。
CC攻擊就是應用層DDoS攻擊的一種,相比流量型的DDoS攻擊,CC攻擊的殺傷力更大,防護難度也更大。每個人都有這樣的體驗:當一個網頁訪問的人數特別多的時候,打開網頁就慢了,CC就是模擬多個用戶不停地訪問那些需要大量數據操作(如連接數據庫)的頁面,造成服務器資源的浪費,CPU長時間處於100%,永遠都有處理不完的連接,造成網絡擁塞,正常的訪問被中止。
圖一:網絡擁塞
過去DDoS攻擊以流量型攻擊爲主,更多的針對運營商的網絡和基礎架構;而當前的DDoS攻擊越來越多的是針對具體應用和業務,如:針對某個移動APP應用、企業門戶應用、在線購物、在線視頻、在線遊戲、DNS、Email等,攻擊的目標更加廣泛,單次攻擊流量小成本低,移動型智能終端攻擊,攻擊行爲更爲複雜和仿真,造成DDoS攻擊檢測和防禦更加困難。
想象一下,在網絡世界夜幕低垂時,服務器、PC、Pad、手機、智能電視、路由器、打印機、攝像頭……這些數字節點如同四面八方的螢火蟲般爲某次DDoS攻擊默默地貢獻自己的資源,前赴後繼,直至目標業務無法正常運行。
業務剛剛起步,就遭到來路不明的DDoS攻擊,有的攻擊來自同行競爭,有的攻擊來自敲詐勒索。此時我們沒有多餘的錢來自建防護,也沒有足夠的技術沉澱來自建防護,企業陷入了進退兩難的境地。相信很多互聯網初創企業都深有感觸。
針對DDoS攻擊,雲端衛士自建清洗服務中心、與IDC共建清洗服務中心以
提高防護帶寬和防護範圍。雲端衛士防護提供了高防IP、域名解析、BGP引流等多種解決方案,以適應不同客戶的具體防護業務場景。同時多個清洗服務中心可以聯動防護和自動,爲客戶提供高質量、高價值抗DDoS服務。
目前雲端衛士的業務模式主要分爲一站式託管防護和便捷式雲端防護:
1)在一站式託管防護的抗DDoS業務模式下,用戶購買抗DDoS業務,需要把域名解析到雲端衛士提供的CNAME記錄上,並配置源站服務器IP;如果非Web業務,直接將業務IP換成雲端衛士提供的高防IP即可;所有公網流量都會經過雲端衛士的智能抗DDoS設備,惡意DDoS攻擊流量在智能抗DDoS設備上會被丟棄,正常業務流量請求送回源站IP,從而確保源站IP安全穩定可用。
圖二 一站式託管防護
2)在便捷式雲端防護的抗DDoS業務模式下,用戶購買抗DDoS業務,可以通過域名解析的方式,將流量牽引到智能抗DDoS設備。也可以通過流量牽引(如BGP流量牽引、OSPF流量牽引等),直接將客戶提供客戶服務的IP地址流量牽引到智能抗DDoS設備,由智能抗DDoS設備對流量進行過濾後,將正常流量轉發給服務器;服務器響應的流量直接返回給客戶端之前,無需再次經過智能抗DDoS設備。
圖三 便捷式雲端防護
雲端衛士自主研發的智能抗DDoS設備內置了當前主流的DDoS防禦算法;同時又提供開放接口,可以隨時添加新的防禦特徵,以防護最新的攻擊。現在雲端衛士的每個清洗服務中心都設置了一套智能行爲分析平臺和多臺智能抗DDoS設備。
智能抗DDoS設備負責具體的防護,並將異常IP、正常IP和相關統計信息上傳到智能行爲分析平臺;這些智能抗DDoS設備之間可以進行聯動;智能分析平臺負責對智能抗DDoS設備上傳的信息進行彙總和分析,將分析結果下發到本地智能抗DDoS設備並上傳到總控節點。總控節點彙集智能行爲分析平臺的信息,形成雲端衛士的信譽庫和行爲特徵庫,下發到各地節點。同時,各個節點的數據可以共享雲端衛士的信譽庫和行爲特徵庫,並對信譽庫和行爲特徵庫反饋的數據。
未來,網絡攻擊仍將處於不斷增多且更加複雜化的趨勢下,有效應對且最小化業務損失會是企業要迫切解決的問題。雲端衛士智能DDoS防護系統將一直致力於幫助客戶解決這些問題。
