DDoS保护怎么发挥作用?它是如何工作的?

有多种方法可以保护您的网络和/或应用程序免受 DDoS 攻击。这里的主要挑战是我们如何区分合法流量和恶意流量。目前有许多 DDoS 缓解方法可用于应对这一挑战,每种方法都有自己的优点和缺点。然而,当今最常见的 DDoS 防护方法有三种:清洁管道法、CDN 稀释法和 TCP/UDP-DDoS 代理:,,
清洁管道 DDoS 保护,清洁管道方法的核心是让所有传入的流量通过一个“清洁管道”,也称为洗涤中心。在这个干净的管道中,将恶意流量与合法流量区分开来,只允许合法用户流量进入网络服务器。Clean Pipe 保护方法现在非常流行,并由许多 ISP 和 DDoS 缓解服务提供。过去,ISP 通常使用黑洞来缓解传入的 DDoS 攻击 ,其中包括合法流量在内的所有流量都被完全否定。但是,清洁管道保护方法存在一些弱点,即:,1.它们部署起来非常困难且昂贵。您需要一个 BGP(边界网关协议路由器)和能够终止 GRE 隧道的硬件。如今,我们可以使用基于云的服务来解决这个问题,但它们往往非常昂贵。,2.Clean Pipe 方法涉及将流量重新路由到清洁管道/清洗中心,因此依赖于正确的 DDoS 检测。此外,重新路由过程从重新路由到缓解过程可能需要至少几分钟的时间。,3.Clean Pipe 方法在防止基于数据包和应用程序泛洪攻击(第 7 层 DDoS 攻击)方面不是很有效。,4.尽管比黑洞好得多,但在允许合法流量方面,Clean Pipe 涉及混合客户端和服务器端流量,因此缓解配置文件可能非常复杂,因此它可能会引入许多误报(合法流量被阻止) .,然而,清洁管道方法是最通用的,支持几乎所有类型的应用程序。我们可以将 Clean Pipe 方法视为一种全面的、万事通的 DDoS 保护方法,但它缺乏针对特定应用程序的高级保护(也就是说,它是无所不能的)。,
CDN 稀释 DDoS 保护,CDN,即内容交付网络,是一个向用户提供内容的分布式网络系统。因此,离用户最近的服务器将响应请求,而不是您的原始服务器。因此,CDN 系统在保护系统免受 DDoS 攻击方面具有两个关键优势:首先,由于涉及大量服务器,因此带宽总和要大得多。CDN 技术具有巨大的带宽,可以有效吸收第 3 层或第 4 层 DDoS 攻击(或容量 DDoS 攻击)。其次,原始服务器不是响应用户请求的服务器,因此任何 DDoS 攻击都很难到达该服务器。这并不是说 CDN 稀释是完美的,因为也有一些缺点:,1.CDN 稀释服务成本高昂,并且可能涉及许多隐藏成本,尤其是因为您涉及使用第三方网络,2.与 DDoS 保护没有直接关系,某些国家/地区已屏蔽了流行 CDN 的 IP 地址,因此某些国家/地区的受众可能无法访问您的站点。,3.如果 CDN 服务器关闭(这是可能的),源服务器很容易受到 DDoS 攻击。,4.CDN 仅适用于 Web 应用程序,您不能在专有 TCP/UDP 应用程序上使用它,但是,CDN 服务器是应用程序上下文感知的,并且与 Clean Pipe(无前置时间)相比,动作更快。因此,除非您使用专有 TCP/UDP 应用程序,否则 CDN 稀释可能是一个很好的 DDoS 保护解决方案。,
TCP/UDP 代理 DDoS 防护,如果您的网站/平台包含 TCP 或 UDP 服务,例如电子邮件 (SMTP)、SSH 访问、游戏服务等,请了解它们的开放端口可能意味着 DDoS 攻击的漏洞。为了解决这个问题,放置了一个基于 TCP/UDP 的代理,其工作方式类似于基于 CDN 稀释的保护。在这种方法中,数据包被发送到 TCP/UDP 反向代理,然后过滤掉恶意流量和数据包。与之前的两种 DDoS 保护方法一样,这种方法也有缺点:,1.后端的源 IP 将更改。由于我们无法获得真实访问者的 IP,这可能是一个额外的漏洞。,2.TCP/UDP 代理的配置基于每个应用程序而不是每个域(如 CDN 稀释)。,3.与 CDN 稀释相比,它更容易出现误报(在这方面与 Clean Pipe 方法非常相似)。,4.不提供网络粒度,TCP/UDP 反向代理非常通用且准确,因为它可以允许定义的端口访问而不是打开所有端口。此外,它非常擅长吸收缓慢的 DDoS 攻击。,
不同的 DDoS 保护模型,此外,我们可以根据它在您的系统上的实施方式来区分 DDoS 保护:,
本地 DDoS 保护模型,在此模型中,DDoS 保护系统是在您的企业场所(即您的数据中心)实施的。这种模式的好处非常明显:您可以直接控制一切,因此您可以随时更新、更改、添加或删除 DDoS 保护系统的任何方面。以下是此 DDoS 保护模型的其他一些优势:,1.响应速度。这种 DDoS 保护模型的主要优势之一。当检测到攻击时,您的内部团队可以使用内部部署系统立即响应 DDoS 攻击,2.您可以根据自己的 DDoS 保护需求开发自定义解决方案,并且这些解决方案可以相互独立扩展。,3.在处理低级别 DDoS 攻击方面要好得多,4.您不必与第三方 DDoS 服务供应商共享私钥,简而言之,通过内部部署的 DDoS 保护方法,您始终可以拥有最佳的多功能性并控制您的策略。如果您的网站或系统反复受到 DDoS 攻击,那么从长远来看,内部部署解决方案可以节省时间和金钱,您还可以根据系统的确切需求定制保护策略。,
但是,内部部署 DDoS 模型确实有一些缺点:,1.可扩展性。即使是最先进的本地 DDoS 保护硬件也无法应对当今的一些大型 DDoS 攻击,2.很少有供应商为内部部署解决方案提供全面的 DDoS 硬件,因此您可能需要与多个不同的供应商合作。这可能是一个耗时的过程。,3.这种方法的最大问题可能是成本。投资 DDoS 保护硬件可能非常昂贵,但只有在您受到攻击时才能提供价值。显然我们不想经常受到攻击,所以如果你很幸运,你可能只使用这些解决方案一次,4.并非所有内部部署硬件解决方案都可以与云解决方案(我们将在下面讨论)一起使用,如果您需要进行升级或更改,这可能是一个问题,
基于云的 DDoS 防护模型,正如我们上面所讨论的,本地 DDoS 解决方案的一个主要问题是成本。您需要投资复杂且昂贵的硬件,例如负载平衡器和硬件防火墙等。因此,许多公司已转向采用基于云的 DDoS 保护解决方案,这通常更实惠,因为我们不需要投资基础设施和设备(至少,我们可以降低成本)。此外,我们可以消除维护这些 DDoS 硬件解决方案的人力资源成本。然而,这并不是说这种基于云的 DDoS 保护方法更简单、更好,我们需要考虑以下因素:,1.解决方案的声誉和客户评论。在当今时代,这是需要考虑的非常重要的一步,除了提供的一系列功能外,我们还必须考虑客户服务方面,2.支持协议的基于云的解决方案的功能、流量检查过程的细化程度、分析方法等。,3.多功能性,例如创建自定义配置和临时策略的可能性,4.DDoS 保护解决方案将如何分析和区分合法流量和恶意流量。不同的解决方案可能提供不同的方法,不同的公司可能因其独特的客户档案而有不同的需求。,5.可扩展性。我们如何根据用户不断变化的需求来扩展云解决方案。,6.支持某些硬件,以及冗余功能的可用性。,7.关于报告/警报系统的方法,不同的解决方案可能提供非常不同的报告级别。由于响应速度在 DDoS 缓解中极为重要,因此这是一个非常重要的考虑因素。,8.根据不断变化的 DDoS 威胁,在正常运行时间和持续更新方面的可靠性。,9.控制传入和传出流量的能力,以防止攻击者利用我们受损的网络资源进行恶意使用。,现在有许多公司 使用不同的技术和方法提供基于云的 DDoS 保护软件和服务(请参阅我们的上一节)。然而,与内部部署的 DDoS 保护方法相比,这些基于云的解决方案也存在一个明显的缺点:控制。,无论这些基于云的第三方解决方案有多好,您都无法直接控制他们的服务。例如,如果他们的系统由于某种原因遭到破坏,那么您的系统也将容易受到攻击。这就是为什么如果您决定采用这种模式,选择信誉良好的 DDoS 服务非常重要。,
混合 DDoS 保护模型,顾名思义,这种方法结合了两全其美,在内部部署和基于云的保护解决方案之间创建了一个封闭的反馈循环。这种方法允许更精细地报告攻击,同时允许我们在组合这些资源的同时定制缓解策略。,这种方法的主要优势之一是能够实施多层系统,在该系统中,低级别 DDoS 攻击(第 3 层和第 4 层)通过网络层内部部署保护(如 IP 信誉集成和强大的防火墙)得到缓解。同时,应用层可以处理 SSL 终止和 Web 应用防火墙。另一方面,基于云的保护可以保护内部部署系统免受大型 DDoS 攻击,这通常是内部部署保护的祸根。,如果操作得当,这种方法可以在所有层提供强大的 DDoS 保护,保护系统免受随机 HTTP 洪水、DDoS 爆发、协议级攻击、缓存绕过和其他类型的 DDoS 攻击。,此外,DDoS 保护的混合方法可以减少与内部部署 DDoS 保护相关的初始投资,同时与专有的基于云的 DDoS 缓解方法相比,为系统提供更多的多功能性和控制。,然而,这种方法的主要缺点是很难将本地硬件与基于云的解决方案集成。不同的云服务将支持不同的硬件(有些根本不提供支持)。因此,通常需要进行广泛的研究,因此构建这种集成混合系统可能非常耗时。,在当今不断发展的 DDoS 攻击中,每个企业和在线实体考虑和采用 DDoS 保护策略变得越来越重要。在选择如何最好地保护您的在线实体免受 DDoS 攻击时,最好权衡遭受攻击的潜在风险与可用预算以及您当前缓解 DDoS 攻击的能力。积极主动地找出 DDoS 保护的最佳方法。当 DDoS 攻击确实来临时,您将没有足够的时间来计划响应,因此在遇到任何攻击之前提前计划解决方案非常重要。,
,有多种方法可以保护您的网络和/或应用程序免受 DDoS 攻击。这里的主要挑战是我们如何区分合法流量和恶意流量。目前有许多 DDoS 缓解方法可用于应对这一挑战,每种方法都有自己的优点和缺点。然而,当今最常见的 DDoS 防护方法有三种:清洁管道法、CDN 稀释法和 TCP/UDP-DDoS 代理:,,4.不提供网络粒度

版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《DDoS保护怎么发挥作用?它是如何工作的?》
文章链接:https://zhuji.vsping.com/497783.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。