現(xiàn)在各省DDoS清洗設(shè)備涉及廠家眾多、差異性大苛预,且暫無統(tǒng)一的集中管控平臺實現(xiàn)實現(xiàn)DDoS攻擊的全網(wǎng)協(xié)同處置句狼。因此,建設(shè)全網(wǎng)集中統(tǒng)一的防御DDoS安全體系已成為網(wǎng)絡(luò)安全領(lǐng)域的緊迫需求和目標(biāo)热某。
隨著IPv6、5G苫拍、物聯(lián)網(wǎng)芜繁、邊緣計算等新興信息通信技術(shù)和相關(guān)各類應(yīng)用行業(yè)的快速發(fā)展,當(dāng)前接入網(wǎng)絡(luò)的終端類型和協(xié)議類型越來越豐富多樣绒极,呈現(xiàn)出指數(shù)級的數(shù)量增長局面,在此情況下蔬捷,數(shù)量眾多的新型終端更容易被黑客操縱實施DDoS攻擊垄提,使防御DDoS的難度加大。
同時周拐,當(dāng)前DDoS攻擊的攻擊源铡俐、攻擊目的、攻擊方法以及攻擊規(guī)模都在發(fā)生各種變化妥粟,從最初的自發(fā)式审丘、分散式轉(zhuǎn)變?yōu)閷I(yè)化的有組織行為,呈現(xiàn)出攻擊工具專業(yè)化勾给、攻擊目的商業(yè)化滩报、攻擊行為組織化的明顯特點锅知,由此帶來的安全問題日益凸顯。頻繁發(fā)生脓钾、攻擊規(guī)模與日俱增的DDoS攻擊,降低了關(guān)鍵信息基礎(chǔ)設(shè)施的性能,如網(wǎng)絡(luò)帶寬和質(zhì)量售睹、資源利用率等,進(jìn)一步影響網(wǎng)絡(luò)和各類系統(tǒng)的正常運(yùn)行可训,給承載于網(wǎng)絡(luò)之上的互聯(lián)網(wǎng)業(yè)務(wù)和用戶帶來了業(yè)務(wù)風(fēng)險和財產(chǎn)損失昌妹,造成較高安全威脅。
防御DDoS建設(shè)思路
骨干網(wǎng)級近源清洗
基于互聯(lián)網(wǎng)開放性的特點以及“就遠(yuǎn)監(jiān)測握截、就近處置”的思路飞崖,在攻擊流量進(jìn)入骨干網(wǎng)的最遠(yuǎn)端,即靠近攻擊源的最近端谨胞,進(jìn)行監(jiān)測攔截蚜厉、遏制攻擊流量,可以避免攻擊流量進(jìn)入骨干網(wǎng)造成擁塞畜眨,能夠節(jié)省大量骨干網(wǎng)帶寬昼牛。近源清洗將清洗設(shè)備分散部署在靠近攻擊源的位置,各部分清洗能力綜合起來可達(dá)到較為可觀的規(guī)模康聂,且可以很好地彈性擴(kuò)容贰健。近源清洗能夠使互聯(lián)網(wǎng)分布式部署的攻擊防護(hù)手段效益最大化,從骨干網(wǎng)層面為安全監(jiān)控運(yùn)維人員打通全局攻擊溯源處置路徑恬汁,同時對各級互聯(lián)網(wǎng)上下協(xié)調(diào)伶椿、左右聯(lián)動、分割管理提出了更高的要求氓侧。
近源清洗涉及的關(guān)鍵技術(shù)是流量牽引和回注脊另,主要設(shè)備包括旁掛在骨干路由器上的牽引路由器和清洗設(shè)備。
部署高防IP
云時代的高防IP部署在各種云基礎(chǔ)設(shè)施機(jī)房中约巷,部署于云上的業(yè)務(wù)系統(tǒng)可通過高防IP進(jìn)行代理發(fā)布偎痛,從而起到隱藏業(yè)務(wù)源站IP的作用。當(dāng)云上業(yè)務(wù)系統(tǒng)遭受到DDoS攻擊時独郎,由于源IP被高防IP隱藏踩麦,高防節(jié)點即可對攻擊流量進(jìn)行清洗,實現(xiàn)對DDoS攻擊目標(biāo)的保護(hù)氓癌,同時將正常流量轉(zhuǎn)發(fā)到源站IP谓谦,從而保證了源站IP訪問的穩(wěn)定性。高防IP可提供不間斷贪婉、實時反粥、低時延、小抖動的大流量攻擊清洗能力,比較適用于游戲才顿、直播莫湘、電商、在線交易等時延敏感型應(yīng)用娜膘。
高防IP依托于機(jī)房中出口路由器大帶寬網(wǎng)絡(luò)的優(yōu)勢逊脯,能夠提供T級別的防護(hù)能力,同時可支持溯源取證竣贪,為遭受DDoS攻擊军洼、需要調(diào)查取證的業(yè)務(wù)提供取證服務(wù)。其組成設(shè)備主要包括DDoS攻擊檢測設(shè)備演怎、大流量清洗設(shè)備集群和回源負(fù)載均衡設(shè)備匕争。
邊緣網(wǎng)絡(luò)抗DDoS發(fā)展方向淺析
隨著5G、物聯(lián)網(wǎng)的飛速發(fā)展爷耀,通過網(wǎng)絡(luò)邊緣節(jié)點接入互聯(lián)網(wǎng)的終端設(shè)備越來越多甘桑,成千上萬的邊緣節(jié)點設(shè)備成為了DDoS攻擊的潛在攻擊源,帶來攻擊源頭變化莫測歹叮、無限擴(kuò)張跑杭、難以發(fā)現(xiàn)的問題,導(dǎo)致互聯(lián)網(wǎng)DDoS攻擊呈現(xiàn)出大規(guī)模咆耿、分布式的特征德谅。
相應(yīng)的在DDoS監(jiān)測處置手段方面,由于攻擊源和目標(biāo)的分散性和隱蔽性萨螺,以及攻擊流量在互聯(lián)網(wǎng)中流經(jīng)路由的不確定性窄做,繼續(xù)無限制擴(kuò)大延伸在固定網(wǎng)中應(yīng)用效果良好的區(qū)域性防護(hù)系統(tǒng)會存在較大難度,投資成本高但可行性差慰技,效果也未必能符合預(yù)期椭盏,因此獨立分割的監(jiān)測體系和沒有協(xié)同的處置體系無法較好解決這一問題。
面向邊緣網(wǎng)絡(luò)和節(jié)點的新一代DDoS檢測防護(hù)手段將逐步向分布式協(xié)作體系演進(jìn)吻商,重點突出各接入邊緣網(wǎng)絡(luò)節(jié)點的協(xié)同性掏颊,提供就近的邊緣化抗DDoS服務(wù)。同時手报,借助于網(wǎng)絡(luò)功能虛擬化蚯舱、云計算等技術(shù)構(gòu)建高效合理的邊緣網(wǎng)絡(luò)節(jié)點協(xié)同分工體系,是實現(xiàn)早期防御DDoS有效快速掩蛤、高準(zhǔn)確性的方法。
在協(xié)同型DDoS安全防御體系中陈肛,各邊緣節(jié)點之間建立一種P2P模式的網(wǎng)絡(luò)結(jié)構(gòu)揍鸟,具有分布式基礎(chǔ)架構(gòu)與計算范式,同時將點對點傳輸、去中心化的分布式數(shù)據(jù)存儲與共享阳藻、共識機(jī)制和分布式信任體系晰奖、加密算法防篡改等技術(shù)應(yīng)用其中,構(gòu)建一個具有區(qū)塊鏈特征和優(yōu)勢的網(wǎng)絡(luò)腥泥,可有效應(yīng)對分布式DDoS攻擊匾南。
結(jié)束語
打造高效穩(wěn)定的網(wǎng)絡(luò)安全環(huán)境蛔外,首先就得做好防御DDoS攻擊的各項措施蛆楞,面對日趨復(fù)雜的DDoS攻擊,單一組織或單一防護(hù)形態(tài)是難以構(gòu)建協(xié)同的治理生態(tài)環(huán)境的夹厌。與獨立集中式的DDoS攻擊處置方法相比豹爹,協(xié)同防御方法具有更好的時效性和更低的成本,將攻擊流量在網(wǎng)絡(luò)的邊緣通過大量閑置終端接入設(shè)備進(jìn)行處置矛纹,避免了復(fù)雜的流量引流以及流量清洗設(shè)備的大量投入臂聋。
本文來自:https://www.zhuanqq.com/News/Industry/442.html
