香港高防ip服务器如何抗击ddos攻击?
一、DDoS云端保护方案的兴起
越来越多的企业正在部署基于云的DDoS缓解服务事实上,估计到2021年,基于云的缓解服务将占DDoS保护支出的70%。
采用基于云的保护的原因很多。首先,是能力。随着DDoS攻击不断扩大,能够使入站通信管道饱和的大容量DDoS攻击变得越来越普遍。因此,具有大规模的基于云的清洗能力来吸收这种攻击是必不可少的。
此外,基于云的DDoS防御是按照现买现用的SaaS订阅模式购买的,因此企业可以快速扩大或缩小,并且不需要提前分配大量资本支出(CAPEX)。此外,云服务通常比本地设备提供更容易的管理和更低的开销,并且不需要专职人员来管理。
因此,越来越多的企业正在寻求云端的DDoS保护。然而,尽管云端DDoS保护有诸多好处,但仍然有很多关键原因使得企业仍然希望采用高防服务器来维护在线业务。
二、双向流量可见性
根据定义,基于云的服务仅提供对企业中入口或入站流量的可见性。他们检查流量到达原点时的流量,并清除它识别出的恶意流量。虽然这对于大多数类型的DDoS攻击来说都是完美的,但是某些类型的DDoS攻击需要能够查看两个流量信道才能被检测和缓解。
需要查看出口流量以便检测的攻击示例包括:
• 状态外协议攻击:这些攻击利用协议通信过程中的弱点(例如TCP的三次握手)来创建耗尽服务器资源的“状态外”连接请求。虽然这种类型的攻击(例如SYN泛洪)可以仅通过对入口流量的可见性来缓解,但其他类型的状态外DDoS攻击(例如ACK泛洪)也需要对出站信道的可见性。将需要对出口信道的可见性来检测这些ACK响应与合法的SYN/ACK响应无关,因此可以被阻止。
• 反射/放大攻击:这些攻击利用某些协议或请求类型的非对称性,以便发动将耗尽服务器资源或使出站通信信道饱和的攻击。此类攻击的一个示例是大型文件下载攻击。在这种情况下,需要对出口信道的可见性来检测从网络流出的出站流量的尖峰。
• 扫描攻击:此类攻击经常出现DDoS攻击的标志,因为它们会在网络中出现大量错误的连接请求。此类扫描经常会产生大量错误回复,这可能会堵塞出站通道。同样,需要对出站流量的可见性来识别相对于合法入站流量的错误响应率,以便防御可以断定正在发生攻击。
三、应用层保护
同样,依赖基于场所的设备对应用层(L7)DDoS保护和SSL处理具有一定的优势。某些类型的应用层(L7)DDoS攻击利用已知的协议弱点,以生成大量耗尽服务器资源的伪造应用请求。这种攻击的示例是低速和慢速攻击或应用层SYN泛洪,它们抽取TCP和HTTP连接以持续消耗服务器资源。
同样,尽管云清理服务可以减轻某些此类攻击,但减轻某些类型的攻击需要应用程序状态感知,即基于云的缓解服务通常不具备这些功能。
四、SSLDDoS保护
此外,SSL加密增加了另一层复杂性,因为加密层使得难以检查流量内容以查找恶意流量。为了检查流量内容,基于云的服务必须解密所有流量,检查它,清除不良流量并重新加密,然后再将其转发给客户来源。
因此,大多数基于云的DDoS缓解服务根本不为基于SSL的流量提供保护,或者使用全代理SSL卸载,这要求客户将其证书上载到服务提供商的云基础架构。
但是,在云中执行完全SSL卸载通常是一个繁重的过程,会增加客户通信的延迟并侵犯用户隐私。这就是为什么许多企业犹豫不决-或者没有能力-与第三方云服务提供商共享他们的SSL密钥。
同样,部署基于场所的设备(例如香港高防服务器)允许企业在内部保留SSL证书的同时防止SSLDDoS泛滥。
五、分层保护
最后,将基于场所的硬件设备与云服务结合使用,可以在攻击流量以某种方式通过云保护的情况下实现分层保护。
使用香港高防服务器允许企业直接通过设备配置和管理进行控制。虽然许多企业更喜欢由基于云的托管服务来处理,但是一些企业(以及一些安全管理员)更喜欢具有更深层次的控制。
此控件还允许安全策略粒度,以便可以根据企业的需要精确调整安全策略,并覆盖云层未覆盖或不可覆盖的攻击媒介。最后,这允许安全故障转移,因此如果恶意流量以某种方式通过云缓解,设备将处理它。
来源:https://www.cnblogs.com/wjdxiaocai/p/12177328.html