IDC热点首先,我们向大家介绍什么是高防护。正如其名称所示,“高防御”就如同在网络中添加了一道防御盾一样,主要指 IDC领域的 IDC机房或线路具有高防御 DDOS能力。
高防御服务器主要是防御性服务,一般是在机房出口架设专门的硬件防火墙设备和流量清理牵引设备等,用于防御常见的 CC攻击、 DDOS攻击、 SYN攻击等。按当前标准衡量,高防御服务器指的是能够独立防御100 G以上服务器。大多数 IDC机房的出口都不具备这种带宽能力,或者没有这种等级的防御设备,这就是所谓的普通 IDC机房。
高抗服务器属于 IDC热点的服务器产品之一,根据不同的 IDC机房环境,有的提供了硬防,有的采用了软防。简而言之,就是能够帮助网站抵制服务攻击,并定时扫描已有的网络主节点,以发现可能存在的安全漏洞的服务器类型,包括 WAF (Web Application Firewall)防御,可以被定义为高度防御的服务器。
DDOS当前最常见的攻击是分布式拒绝服务攻击(全名: Distributed denial of service attack),也称为洪水攻击,所谓洪水,就是来势凶猛,来去不定。它是一种常用的网络攻击手段,它的主要思想是利用分布式的合理服务请求来消耗目标资源和网络带宽,导致目标不能提供正常的服务请求。这就是说,在 DDoS攻击期间,异常访问增加,使目标崩溃或瘫痪。举例来说,比如在双十一期间,由于访问量过大,淘宝网站就陷入了瘫痪状态。
另一种类型的 DDoS攻击—— ChallengeCollapsar,通过使用代理服务器向受侵害的服务器发送大量看似合法的请求来进行攻击。CC攻击是攻击者控制一些主机不停地向对方服务器发送大量的数据包,导致对方服务器资源枯竭,造成服务器资源浪费,并且长时间处于100%的 CPU利用率状态,永远有无法处理的连接,网络拥塞异常,直至宕机崩溃。
有人的地方就有江湖,互联网上也是如此。
在网络日益发达的今天,对企业来说,信息是否安全将关系到企业的生存和发展,信息安全的重要性更加突出。
越来越复杂的网络环境下,要保证 WEB服务器24小时不受干扰地运行,无疑要选择抗 DDoS攻击的服务器,这是企业网络安全的重要保障措施之一。
高防服务器工作原理
高防服主要是靠资源硬扛的防御,就像有人要打你,你去买几把刀再穿上盔甲举个盾去防身。实际上,我们需要做的就是:首先要在 IDC机房出口扩展带宽,比如从100 G扩展到600 G甚至更高,当然这需要配置高端路由器设备,以及网络运营商的线路资源来支持。第二,机房出口部署的防火墙设备需要逐步升级,就像在服务器前加一个护盾一样。
假如攻击超过机房出口,比如机房出口就是200 G,迎来600 G流量的攻击该怎么办?此时需要运营商配合机房出口上层的流量牵引技术,将正常流量与攻击流量区分开来,并将带攻击的流量牵引到具有防御能力的机房防火墙设备上,而非选择自己硬扛。如同你自己的防护装备齐全之后,在敌人的必经之路上设了许多障碍物或暗器,先把他的一部分能量消耗掉,就好比把虚伪的目标牵扯过来的部分攻击流过来。
目前数据云采用的是单节点高防护,相对于传统的防护模式。通过搭建防火墙设备和扩大带宽的出口来抵抗清洗攻击流量,需要充足的资源作为支撑,说白了防御攻击的能力主要取决于机房的条件。
高防IP工作原理
高防 IP是利用 DDoS在不同区域具有大带宽和高保护能力的多个 DDoS保护节点来实现对源服务器数据的转发。单点 DDoS的保护能力通常在300-1000 Gbps之间。
实际上,高防御 IP也和数据云高防服务器一样,理论上一个网站或用户的应用在受到攻击时,将网站迁移到高防御服务器不也可以吗?但很多时候,幸福(攻击)来得太突然,就像一个人急切地叫嚣要打你,你以为他只是大声喧哗,结果立刻动手。
假如您的站点位于普通机房,又或遭受了超出当前机房防御阈值的攻击,根本没有机会和条件及时迁移到高防御服务器,这一刻并不会令人尴尬,眼睁睁地看着对方挨打而毫无还手之力。甚至都没有机会给你买武器买盔甲,这种情况下该怎么办?此时此刻,高防 IP能来救场。立刻购买使用高防 IP,通过高防 IP加端口转发和轮询的方式,将攻击流量全部引向高防 IP,让攻击者始终打出举着“盾”的高防 IP,却找不到源站在哪里。到目前为止,源站服务器仍然能够稳定可靠地响应服务请求。正如有人打你,你找大哥在前面挡着,他去应战,你去后面躲着,偷着乐(听起来很无礼…反正就是这样)。
采用高度防御的 IP的好处是,用户无需重新部署环境,无需传输数据,只需快速进行转发设置。从理论上讲,任何服务器都可以使用高度防御的 IP来防御 DDOS攻击,就像买了一个护盾就能拿来立即防御一样,方便快捷。
高防CDN工作原理
高度防御的 CDN是一种带有防御功能的内容分流网(Content Delivery Network),其原理是建立在网络之上的内容分流网依赖于部署在各地的边缘服务器,通过中央平台的负载平衡、内容分流网和调度等功能模块实现。
让使用者就近获得想要的内容,而不必直接访问网站源服务器。采用高度防 CDN,不仅解决了不同地区网络接入速度的问题,而且有效地降低了由于并发过多而给服务器带来的压力,从而隐藏了网站源 IP。它的原理简单地说,就是设置多个高度防御的分布节点,在任意一个 CDN节点受到攻击时,每个节点都要承受。没有因为某个节点受到攻击或死亡而使网站无法访问。还是可以比拟的,就是有人想打你,你去叫一帮强悍的兄弟,等他们在敌人来的路上招架他们,打到后面有几个等着。
高防CDN防御方式是通过使用足够的CDN节点来实现DDoS保护,一般需要至少超过10以上的CDN节点,而单个CDN节点具有20到100 Gbps之间的DDoS保护能力才能足够有效的抵御攻击。
一般CDN都是采取域名CNAME解析多点的方式进行处理的。
三类高防产品的差别和总结
高防IP使用最方便,即买即用,WEB和游戏都合适。高防IP是无法像普通服务器那样有便捷的桌面操作或者远程登陆,只有一个控制面板作为设置界面。当你的源服务器遭到攻击,而又不愿转移数据信息或者更换服务器的时候,高防IP的牵引带系统会对总流量开展智能化分辨过滤,确保正常的流量可以对服务器发出请求并获得正常的解决。高防IP适用于应用方面的防护,如游戏业务,各种应用业务系统等。
高防CDN是多点防御,还有加速功能,适合WEB方面。相比而言,高防CDN 防御DDoS能力是要弱于高防IP的,但高防CDN 网站加速能力优越,适用于对网站加速和DDoS防御要求不太高的用户,如大型门户网站(比如商城,首页图片过多)和其他业务。
高防服务器属于单机防御,拿机房服务器硬扛,属于单打独斗的解决方案。需要将服务器放置在高防机房中。”物以类聚,人以群分”,高防机房中的服务器,大部分来自于易受攻击的行业,容易受其他被攻击的服务器的影响,防御成本较高。理论上来说,防御成本永远比攻击成本高,对流量攻击的防御比较有限,受到超过防御的攻击时只能做黑洞牵引,需要运营商上层调度配合,而且攻击过大时影响网络出口拥塞,和网络稳定性,不能灵活部署。
DDoS攻击——ChallengeCollapsar
