伴隨互聯網世界的飛速發展,各企業在享受迅捷的網絡所帶來的用戶流量的同時,安全隱患卻無處不在。針對IP發起的DDoS(分布式拒絕服務攻擊)攻擊就是其中的一種,它們利用合理的服務請求來占用大量的服務器帶寬資源,把網站的合法訪客堵在外面,從而得不到服務器正常響應。嚴重降低了服務器的可用性。
流量牽引的必要性
針對這種惡意流量攻擊的行為,最初防御DDoS攻擊都是根據防火墻上的抗DDoS模塊來實現硬防,當面對超大規模的流量攻擊,防火墻自身構造的瓶頸變得顯而易見。之后,人們采用在網絡中串聯進抗DDoS攻擊設備來抵抗更大規模的流量攻擊,但與此同時,這些增加設備也相當于增加了潛在的故障點。而流量牽引技術通過疏導流量,有效提高網絡抗DDoS的容錯性。經過流量牽引后到達抗DDoS設備上的流量經過分流后必然有所減弱,流量越小抗DDoS攻擊設備分析和防御能力就會越強。當針對server1的攻擊流量到達抗DDoS設備的時候,我們面臨兩種可能,一種是能夠防御的住,一種是防御不住。如果防御的住,那當然就不存在問題了。如果防御不住呢? 最多會造成一個地址不能被訪問,將攻擊所能造成的危害降低到最小,不至于因為一個點的攻擊而導致整個網絡不能通信,這個代價相比而言是最小的。
流量牽引的拓撲原理
當網絡中存在攻擊時,服務器遭受到了DDoS攻擊,Probe監測到攻擊行為后,目標為服務器1的流量將被轉發到抗DDoS設備,這些流量到達抗DDoS設備經過有目的的檢測、甄別、過濾,其余的合法流量將繼續被轉發到R2。而此時其它的流量仍然保持原來的路線,即直接從R1轉發到R2。從而這些攻擊流量和正常流量實現分離,防御性能高的服務器設備被用來專門抵抗DDoS攻擊,而多數正常流量盡可能的不受到攻擊的干擾,實現正常的訪問。
流量牽引技術的實現
流量牽引拓撲從路由器到內部網絡變成了雙鏈路,而且又增加了一個新設備——Probe。假設服務器1正在受到攻擊。Defender是在“黑洞”的基礎上發展起來的,在已有技術的基礎上加強了對應用層DDoS的防御。由于對針對服務器1的攻擊流量被切換到了Defender上,外網到服務器2和服務器3的訪問將不受到干擾,攻擊的壓力落在了Defender和服務器1上。這樣我們就把被攻擊事件限制在了局部。通常DDoS攻擊目標明確,而且是持續不斷的不定期的騷擾。必要的時候也可以通過Probe的監測功能來追蹤攻擊來源,Probe可以收集到整個網絡的netflow信息,通過對這些信息的分析,判斷出攻擊流量進入網絡的入口。層層追蹤鎖定攻擊來源的范圍。
DDoS防御需要一系列設備的聯合部署、分工合作,同時也需要專業的技術人員進行合理架構和防攻判斷,從而實現最大的防御效果和最輕微的網絡影響。
掃一掃 加微信咨詢
