如何低成本做到有效的防御DDoS攻击。
相信大家应该还没有忘记2009年5月19日的全国性断网事件,导致全国性断网的起因是一次DDoS网络攻击,事件过去快十年了,随着互联网的高速发展和深入应用,现在网络攻击态势怎么样了呢?
通过下面这一张图表,我们可以直观的看出,随着互联网的高速发展和深入应用,全球范围内的DDoS攻击亦随之呈现了上扬趋势。下图是通过中国电信旗下网站截取的统计图表,图内展示了从2013年1月至今的5年内,全球范围内DDoS攻击趋势图。
中国电信旗下网站展示的2013年至今5年内DDoS攻击趋势
从上图可以看出,近年来DDoS网络攻击处于高发时期,同时DDoS攻击会给整个利用互联网经营的企业,带来非常大的经济损失,是令全球企事业单位甚至个人用户头疼的事情。*在2014年“中央网络安全和信息化领导小组第一次会议”时就指出:没有网络安全,就没有国家安全。面对如此严峻的形式,就拿DDoS网络攻击真的就没有更好的防御措施吗?
到底什么是DDoS攻击呢?
分布式拒绝服务攻击攻击(Distributed Denial of Service),也就是常常被大家简称为DDOS的网络攻击。
百度百科对DDoS攻击的定义相对抽象:分布式拒绝服务(DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
本文引用支付宝阮一峰在其博客的举例,来形象的告诉你DDoS是如何发动攻击的:我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。但是很不幸,我得罪了一个流氓,他派出300个人同时涌进餐厅,这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把我的餐厅给瘫痪了。
这就是DDoS 攻击的原理和导致的后果,它能在短时间内发起大量的访问请求,耗尽网络资源或服务器资源,让网络瘫痪或者服务器无法响应正常的访问,最终造成网站实质性的无法访问。
从技术角度讲,DDoS攻击不是一种攻击,而是一大类攻击的总称,它有几十种类型,而且新的攻击方法还在不断被发明出来,比如SYN/TCP/UDP/ICMP Flood,及其变种Land/Teardrop/Smurf/Ping of Death,最常见的就是CC攻击。
抵御DDoS的难点?
前面已经叙述过DDoS攻击的特点,主要是消耗掉被攻击目标的硬件、网络等资源,导致正常的请求无法抵达目标服务器。那么,过滤掉这些非正常的流量就变得很重要了,但是识别、处理并过滤掉这些攻击流量,是人工无法实现的,是需要耗费大量服务器、网络带宽等等资源的,换句话说成本是比较高的,普通用户是很难搭建起如此庞大的防御网。
高成本,这就成了抵御DDoS攻击最大的难点。
如何有效的抵御DDoS攻击?
简单来说,就是实现拦截恶意请求。
要实现“拦截恶意请求”的背后,需要投入巨资,配套诸多的软硬件及策略做支撑,比如,专业硬件防火墙,更大的带宽容量、更多的IP地址、更专业的防护策略等等,有了这一整套解决方案,方能做到精准识别并拦截。
因为这种做法的投入比较大,一般服务商比较难以支撑,所以并不是所有服务商都具备如此能力。为了更加有效的抵御DDoS攻击,并降低用户的防御成本,更多的服务商选择为整个数据中心赋予这样的防御能力。
比如,国内老牌云服务提供商西部数码,成立十六年来,专注于互联网接入服务,服务中国数十万网站,深知用户的痛点并积极寻求解决方案。最终西部数码选择与运营商合作,共建了一个T级带宽接入的高防数据中心,并配套了一整套完整的硬件防护设备,通过这样的解决方案,整个在这个数据中心的用户将受到保护,并采用类似SaaS方式面向用户提供抵御DDoS服务降低用户使用成本。
西部数码这样的解决方案,有如下优势:
一、 海量防护带宽容量。
前文叙述过,当DDoS来临之际,带宽作为非常重要的资源,将率先迎接挑战,而西部数码高防数据中心1T超大防护带宽的接入,单机最高可提供500G的恶意流量攻击防御与清洗需求,可满足各类用户需求。
二、 适用多类攻击。
配备硬件云集群防火墙针,经过实际测试,可针对各类DDoS泛洪攻击,如SYN、TCP、UDP、ICMP Flood,及其变种Land、Teardrop、Smurf、Ping of Death等均有显著防御效果。
三、 黑洞自动解封。
当DDoS攻击停止或流量低于防御峰值,系统封禁状态自动解除,无需等待,减少业务不可用时间。
四、 全业务场景接入
支持网站和非网站防护接入,为ERP、邮局、OA等企业应用以及游戏、电商、流媒体等提供有效防护。
五、 流量实时监控
在DDoS攻击来临之时,还可提供攻击流量日志记录、多维度防御图表,帮助用户随时掌握业务受攻击情况,部署并启动应急预案。
六、 更低成本实现更有效的防御。
在数据中心层面部署硬件防护措施,并充分利用数据中心的事实可调配超大带宽,不用每一位有需求的用户都去部署防护,采用包月等形式支付服务费用,即可以实现有效的防护,还可以为用户节省至少90%的成本。西部数码还向用户免费提供30G基础防御,独立的防护资源,可抵御多类DDoS攻击。
综上所述,DDoS攻击确实存在难点,但也并不是没有对应的解决方案,站在企业运维角度,在被攻击时同时还需要及时报警,并积极配合警方调查取证;同时,虽然有了应对的解决方案,自身也还是需要更加重视网络安全,做好日常的维护监控措施及应急预案。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
