現(xiàn)在各省DDoS清洗設(shè)備涉及廠家眾多、差異性大，且暫無統(tǒng)一的集中管控平臺實現(xiàn)實現(xiàn)DDoS攻擊的全網(wǎng)協(xié)同處置。因此，建設(shè)全網(wǎng)集中統(tǒng)一的防御DDoS安全體系已成為網(wǎng)絡(luò)安全領(lǐng)域的緊迫需求和目標。

嚴謹?shù)姆烙鵇DoS思路幫助你實現(xiàn)有效快速、高準確性的應(yīng)對DDoS

隨著IPv6、5G、物聯(lián)網(wǎng)、邊緣計算等新興信息通信技術(shù)和相關(guān)各類應(yīng)用行業(yè)的快速發(fā)展，當前接入網(wǎng)絡(luò)的終端類型和協(xié)議類型越來越豐富多樣，呈現(xiàn)出指數(shù)級的數(shù)量增長局面，在此情況下，數(shù)量眾多的新型終端更容易被黑客操縱實施DDoS攻擊，使防御DDoS的難度加大。

同時，當前DDoS攻擊的攻擊源、攻擊目的、攻擊方法以及攻擊規(guī)模都在發(fā)生各種變化，從最初的自發(fā)式、分散式轉(zhuǎn)變?yōu)閷I(yè)化的有組織行為，呈現(xiàn)出攻擊工具專業(yè)化、攻擊目的商業(yè)化、攻擊行為組織化的明顯特點，由此帶來的安全問題日益凸顯。頻繁發(fā)生、攻擊規(guī)模與日俱增的DDoS攻擊,降低了關(guān)鍵信息基礎(chǔ)設(shè)施的性能,如網(wǎng)絡(luò)帶寬和質(zhì)量、資源利用率等，進一步影響網(wǎng)絡(luò)和各類系統(tǒng)的正常運行，給承載于網(wǎng)絡(luò)之上的互聯(lián)網(wǎng)業(yè)務(wù)和用戶帶來了業(yè)務(wù)風(fēng)險和財產(chǎn)損失，造成較高安全威脅。

防御DDoS建設(shè)思路

骨干網(wǎng)級近源清洗

基于互聯(lián)網(wǎng)開放性的特點以及“就遠監(jiān)測、就近處置”的思路，在攻擊流量進入骨干網(wǎng)的最遠端，即靠近攻擊源的最近端，進行監(jiān)測攔截、遏制攻擊流量，可以避免攻擊流量進入骨干網(wǎng)造成擁塞，能夠節(jié)省大量骨干網(wǎng)帶寬。近源清洗將清洗設(shè)備分散部署在靠近攻擊源的位置，各部分清洗能力綜合起來可達到較為可觀的規(guī)模，且可以很好地彈性擴容。近源清洗能夠使互聯(lián)網(wǎng)分布式部署的攻擊防護手段效益最大化，從骨干網(wǎng)層面為安全監(jiān)控運維人員打通全局攻擊溯源處置路徑，同時對各級互聯(lián)網(wǎng)上下協(xié)調(diào)、左右聯(lián)動、分割管理提出了更高的要求。

近源清洗涉及的關(guān)鍵技術(shù)是流量牽引和回注，主要設(shè)備包括旁掛在骨干路由器上的牽引路由器和清洗設(shè)備。

部署高防IP

云時代的高防IP部署在各種云基礎(chǔ)設(shè)施機房中，部署于云上的業(yè)務(wù)系統(tǒng)可通過高防IP進行代理發(fā)布，從而起到隱藏業(yè)務(wù)源站IP的作用。當云上業(yè)務(wù)系統(tǒng)遭受到DDoS攻擊時，由于源IP被高防IP隱藏，高防節(jié)點即可對攻擊流量進行清洗，實現(xiàn)對DDoS攻擊目標的保護，同時將正常流量轉(zhuǎn)發(fā)到源站IP，從而保證了源站IP訪問的穩(wěn)定性。高防IP可提供不間斷、實時、低時延、小抖動的大流量攻擊清洗能力，比較適用于游戲、直播、電商、在線交易等時延敏感型應(yīng)用。

高防IP依托于機房中出口路由器大帶寬網(wǎng)絡(luò)的優(yōu)勢，能夠提供T級別的防護能力，同時可支持溯源取證，為遭受DDoS攻擊、需要調(diào)查取證的業(yè)務(wù)提供取證服務(wù)。其組成設(shè)備主要包括DDoS攻擊檢測設(shè)備、大流量清洗設(shè)備集群和回源負載均衡設(shè)備。

邊緣網(wǎng)絡(luò)抗DDoS發(fā)展方向淺析

隨著5G、物聯(lián)網(wǎng)的飛速發(fā)展，通過網(wǎng)絡(luò)邊緣節(jié)點接入互聯(lián)網(wǎng)的終端設(shè)備越來越多，成千上萬的邊緣節(jié)點設(shè)備成為了DDoS攻擊的潛在攻擊源，帶來攻擊源頭變化莫測、無限擴張、難以發(fā)現(xiàn)的問題，導(dǎo)致互聯(lián)網(wǎng)DDoS攻擊呈現(xiàn)出大規(guī)模、分布式的特征。

相應(yīng)的在DDoS監(jiān)測處置手段方面，由于攻擊源和目標的分散性和隱蔽性，以及攻擊流量在互聯(lián)網(wǎng)中流經(jīng)路由的不確定性，繼續(xù)無限制擴大延伸在固定網(wǎng)中應(yīng)用效果良好的區(qū)域性防護系統(tǒng)會存在較大難度，投資成本高但可行性差，效果也未必能符合預(yù)期，因此獨立分割的監(jiān)測體系和沒有協(xié)同的處置體系無法較好解決這一問題。

面向邊緣網(wǎng)絡(luò)和節(jié)點的新一代DDoS檢測防護手段將逐步向分布式協(xié)作體系演進，重點突出各接入邊緣網(wǎng)絡(luò)節(jié)點的協(xié)同性，提供就近的邊緣化抗DDoS服務(wù)。同時，借助于網(wǎng)絡(luò)功能虛擬化、云計算等技術(shù)構(gòu)建高效合理的邊緣網(wǎng)絡(luò)節(jié)點協(xié)同分工體系，是實現(xiàn)早期防御DDoS有效快速、高準確性的方法。

在協(xié)同型DDoS安全防御體系中，各邊緣節(jié)點之間建立一種P2P模式的網(wǎng)絡(luò)結(jié)構(gòu)，具有分布式基礎(chǔ)架構(gòu)與計算范式，同時將點對點傳輸、去中心化的分布式數(shù)據(jù)存儲與共享、共識機制和分布式信任體系、加密算法防篡改等技術(shù)應(yīng)用其中，構(gòu)建一個具有區(qū)塊鏈特征和優(yōu)勢的網(wǎng)絡(luò)，可有效應(yīng)對分布式DDoS攻擊。

嚴謹?shù)姆烙鵇DoS思路幫助你實現(xiàn)有效快速、高準確性的應(yīng)對DDoS

結(jié)束語

打造高效穩(wěn)定的網(wǎng)絡(luò)安全環(huán)境，首先就得做好防御DDoS攻擊的各項措施，面對日趨復(fù)雜的DDoS攻擊，單一組織或單一防護形態(tài)是難以構(gòu)建協(xié)同的治理生態(tài)環(huán)境的。與獨立集中式的DDoS攻擊處置方法相比，協(xié)同防御方法具有更好的時效性和更低的成本，將攻擊流量在網(wǎng)絡(luò)的邊緣通過大量閑置終端接入設(shè)備進行處置，避免了復(fù)雜的流量引流以及流量清洗設(shè)備的大量投入。

本文來自：https://www.zhuanqq.com/News/Industry/442.html