数据中心如何应对DDoS攻击?

2020-04-21 16:42:30 云杰 105

数据中心如何应对DDoS攻击?



如今,分布式拒绝服务攻击(DDoS)发生了变化,其规模越来越大,影响越来越大,并针对越来越多的公司。而攻击者也在不断创新他们使用的载体,并确定更多的薄弱点。

这意味着防御者需要采取多层次的防御策略,因为这不只是简单的洪水攻击。

通常大型数据中心都会使用旁路部署技术来应对:抗拒绝服务产品可以不必串联在原有网络中,除了减少故障点,而且由于大多数带宽不必实时通过抗拒绝服务产品,因此一个较小的抗DDoS清洗容量就可以适用于一个大带宽的网络中,有效的降低投入成本。

攻击检测:通过配置镜像接口或Netflow方式 感知到有攻击流量,判断是否有拒绝服务攻击发生。

流量牵引:确定发生拒绝服务攻击后,利用路由 交换技术,将原本要去往受害IP的流量牵引至旁路 ADS设备。被牵引的流量为正常流量与攻击流量的混合流量;

攻击防护/流量净化:ADS设备通过多层次 的垃圾流量识别与净化功能,将拒绝服务攻击 的流量从混合流量中分离、过滤;

流量注入:经过ADS净化之后的正常流量被重新注入回网络,到达目的IP.

 

一级运营商管理运营丰富的骨干网带宽资源,对于大流量及超大流量DDoS攻击具有先天性的压制优势,运营商是整个网络的支撑者,所有的攻击流量都必须通过运营商, 如果在运营商层面全面的打击DDOS攻击行为,将能起到一劳永逸的效果,所以运营商应当为用户打造抗DDOS的堡垒。

 

对于运营商而言,保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击,那么所有承载的业务都会瘫痪,这必然导致服务质量的下降甚至失效。同时,在目前竞争激烈的运营商市场,服务质量的下降意味着客户资源的流失,尤其是那些高ARPU值的大客户,会转投其他的运营商,这对于运营商而言是致命的打击。所以,有效的ddos防护措施对于保证网络服务质量有着重要意义。另一方面,对运营商或是IDC而言,DDoS防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,这给运营商带来了新的利益增长点,也增强了其行业竞争能力。

 

对于普通用户的网络接入,应尽量给与私网IP地址,然后通过NAT多个用户公用同一IP

1. 节省了IP地址

2. 普通用户发出的各种报文的源地址都会被NAT替换成真实的地址,防止源地址伪造。

3. 有利于普通用户的安全,这相当于多了一道防火墙,能够阻挡大部分来自公网的主动连接,比如扫描等行为。或者把ip报文头中未实际使用的部分,比如八位的QOS标志、IP选项字段,加入对来源标识功能,每个接入层的路由交换设备带有不同的标致,可以通过报文携带的不同标志找到它的大体发送源。

 

运营商一定要高度重视自身网络设备的安全性,不要让网络设备成为反射放大器甚至被黑客控制,因为运营商在网络中起到只管重要的作用,如果黑客远程关闭一台核心交换机将比任何DDOS攻击危害更大效果更明显。在各地区建立流量清洗站,清洗DDOS流量,并且为企业提供清洗服务,将DDOS流量转入清洗站清洗,如遇特大型DDOS攻击时,可以共同分担清洗任务。

总之,云计算公司有很大的计算能力,运营商有很大的带宽资源,强强联合能极大提升抗DDOS能力。

随着DDoS攻击范围和损害的增加,电信公司,安全供应商,基础设施提供商和其他行业参与者需要共同努力,帮助数据中心实现更好的安全防护。