如何低成本做到有效的防御DDoS攻击
延安特大凶杀案
相信大家应该还没有忘记 2009 年 5 月 19 日的断网事件,导致断网的起因是一次DDoS网络攻击,事件过去快十年了,随着互联网的高速发展和深入应用,现在网络攻击态势怎么样了呢?
通过下面这一张图表,我们可以直观的看出,随着互联网的高速发展和深入应用,全球范围内的DDoS攻击亦随之呈现了上扬趋势。下图是通过中国电信旗下网站截取的统计图表,图内展示了从 2013 年 1 月至今的 5 年内,全球范围内DDoS攻击趋势图。
从上图可以看出,近年来DDoS网络攻击处于高发时期,同时DDoS攻击会给整个利用互联网经营的企业,带来非常大的经济损失,是令全球企事业单位甚至个人用户头疼的事情。习总在 2014 年“中央网络安全和信息化领导小组第一次会议”时就指出:没有网络安全,就没有。面对如此严峻的形式,就拿DDoS网络攻击真的就没有更好的防御措施吗?
百度百科对DDoS攻击的定义相对抽象:分布式服务(DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高服务攻击的威力。
本文引用支付宝阮一峰在其博客的举例,来形象的告诉你DDoS是如何发动攻击的:我开了一家餐厅,正常情况下,最多可以容纳 30 个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。但是很不幸,我得罪了一个,他派出 300 个人同时涌进餐厅,这些人看上去跟正常的顾客一样,每个都说赶快上餐。但是,餐厅的容量只有 30 个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把我的餐厅给瘫痪了。
这就是DDoS 攻击的原理和导致的后果,它能在短时间内发起大量的访问请求,耗尽网络资源或服务器资源,让网络瘫痪或者服务器无法响应正常的访问,最终造成网站实质性的无法访问。
从技术角度讲,DDoS攻击不是一种攻击,而是一大类攻击的总称,它有几十种类型,而且新的攻击方法还在不断被发明出来,比如SYN/TCP/UDP/ICMP Flood,及其变种Land/Teardrop/Smurf/Ping of Death,最常见的就是CC攻击。
前面已经叙述过DDoS攻击的特点,主要是消耗掉被攻击目标的硬件、网络等资源,导致正常的请求无法抵达目标服务器。那么,过滤掉这些非正常的流量就变得很重要了,但是识别、处理并过滤掉这些攻击流量,是人工无法实现的,是需要耗费大量服务器、网络带宽等等资源的,换句话说成本是比较高的,普通用户是很难搭建起如此庞大的防御网。
要实现“拦截恶意请求”的背后,需要投入巨资,配套诸多的软硬件及策略做支撑,比如,专业硬件防火墙,更大的带宽容量、更多的IP地址、更专业的防护策略等等,有了这一整套解决方案,方能做到精准识别并拦截。
因为这种做法的投入比较大,一般服务商比较难以支撑,所以并不是所有服务商都具备如此能力。为了更加有效的抵御DDoS攻击,并降低用户的防御成本,更多的服务商选择为整个数据中心赋予这样的防御能力。
比如,国内老牌云服务提供商西部数码,成立十六年来,专注于互联网接入服务,服务中国数十万网站,深知用户的痛点并积极寻求解决方案。最终西部数码选择与运营商合作,共建了一个T级带宽接入的高防数据中心,并配套了一整套完整的硬件防护设备,通过这样的解决方案,整个在这个数据中心的用户将受到,并采用类似SaaS方式面向用户提供抵御DDoS服务降低用户使用成本。
前文叙述过,当DDoS来临之际,带宽作为非常重要的资源,将率先迎接挑战,而西部数码高防数据中心1T超大防护带宽的接入,单机最高可提供500G的恶意流量攻击防御与清洗需求,可满足各类用户需求。
支持网站和非网站防护接入,为ERP、邮局、OA等企业应用以及游戏、电商、流等提供有效防护。
在DDoS攻击来临之时,还可提供攻击流量日志记录、度防御图表,帮助用户随时掌握业务受攻击情况,部署并启动应急预案。
在数据中心层面部署硬件防护措施,并充分利用数据中心的事实可调配超大带宽,不用每一位有需求的用户都去部署防护,采用包月等形式支付服务费用,即可以实现有效的防护,还可以为用户节省至少90%的成本。西部数码还向用户免费提供30G基础防御,的防护资源,可抵御多类DDoS攻击。
综上所述,DDoS攻击确实存在难点,但也并不是没有对应的解决方案,站在企业运维角度,在被攻击时同时还需要及时报警,并积极配合警方调查取证;同时,虽然有了应对的解决方案,自身也还是需要更加重视网络安全,做好日常的措施及应急预案。
本文由海南柴油发电机组 www.hnjqc.cn整理发布