如何低成本做到有效的防御DDoS攻击。相信大家应该还没有忘记2009年5月19日的全国性断网事件,导致全国性断网的起因是一次DDoS网络攻击,事件过去快十年了,随着互联网的高速发展和深入应用,现在网络攻击态势怎么样了呢?
通过下面这一张图表,我们可以直观的看出,随着互联网的高速发展和深入应用,全球范围内的DDoS攻击亦随之呈现了上扬趋势。下图是通过中国电信旗下网站截取的统计图表,图内展示了从2013年1月至今的5年内,全球范围内DDoS攻击趋势图。
中国电信旗下网站展示的2013年至今5年内DDoS攻击趋势
从上图可以看出,近年来DDoS网络攻击处于高发时期,同时DDoS攻击会给整个利用互联网经营的企业,带来非常大的经济损失,是令全球企事业单位甚至个人用户头疼的事情。习总书记在2014年“中央网络安全和信息化领导小组第一次会议”时就指出:没有网络安全,就没有国家安全。面对如此严峻的形式,就拿DDoS网络攻击真的就没有更好的防御措施吗?
到底什么是DDoS攻击呢?
分布式拒绝服务攻击攻击(Distributed Denial of Service),也就是常常被大家简称为DDOS的网络攻击。百度百科对DDoS攻击的定义相对抽象:分布式拒绝服务(DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
本文引用支付宝阮一峰在其博客的举例,来形象的告诉你DDoS是如何发动攻击的:我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。但是很不幸,我得罪了一个流氓,他派出300个人同时涌进餐厅,这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把我的餐厅给瘫痪了。这就是DDoS 攻击的原理和导致的后果,它能在短时间内发起大量的访问请求,耗尽网络资源或服务器资源,让网络瘫痪或者服务器无法响应正常的访问,最终造成网站实质性的无法访问。
从技术角度讲,DDoS攻击不是一种攻击,而是一大类攻击的总称,它有几十种类型,而且新的攻击方法还在不断被发明出来,比如SYN/TCP/UDP/ICMP Flood,及其变种Land/Teardrop/Smurf/Ping of Death,最常见的就是CC攻击。
抵御DDoS的难点?
前面已经叙述过DDoS攻击的特点,主要是消耗掉被攻击目标的硬件、网络等资源,导致正常的请求无法抵达目标服务器。那么,过滤掉这些非正常的流量就变得很重要了,但是识别、处理并过滤掉这些攻击流量,是人工无法实现的,是需要耗费大量服务器、网络带宽等等资源的,换句话说成本是比较高的,普通用户是很难搭建起如此庞大的防御网。高成本,这就成了抵御DDoS攻击最大的难点。
如何有效的抵御DDoS攻击?
简单来说,就是实现拦截恶意请求。
要实现“拦截恶意请求”的背后,需要投入巨资,配套诸多的软硬件及策略做支撑,比如,专业硬件防火墙,更大的带宽容量、更多的IP地址、更专
业的防护策略等等,有了这一整套解决方案,方能做到精准识别并拦截。因为这种做法的投入比较大,一般服务商比较难以支撑,所以并不是所有服务商都具备如此能力。为了更加有效的抵御DDoS攻击,并降低用户的防御成本,更多的服务商选择为整个数据中心赋予这样的防御能力。
比如,国内老牌海外IDC提供商天下数据,成立十多年来,专注于互联网接入服务,服务中国数十万网站,深知用户的痛点并积极寻求解决方案。
主见这样的解决方案,有如下优势:
一、 海量防护带宽容量。
前文叙述过,当DDoS来临之际,带宽作为非常重要的资源,将率先迎接挑战,而天下数据高防数据中心1T超大防护带宽的接入,单机最高可提供500G的恶意流量攻击防御与清洗需求,可满足各类用户需求。
二、 适用多类攻击。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。