引流中心静态或动态引流到清洗设备,清洗设备根据报文的特征判断是否攻击报文,丢弃攻击报文,将正常业务报文回注。
问题的关键是如何判断攻击报文。
高防服务器是如何确认哪些是恶意IP/流量?
1)异形包:如报文中相关字段填非法的,或者单个字段填写合法,但是从整个报文来看是非法的。
2)虚假源:
通过IP源身份认证可以识别。
识别虚假源有很多手段。
相同源地址的短时间内大量请求直接认定为非法,加入黑名单,丢弃报文。
但是源地址可以伪造呀!
也有办法:根据伪造地址的规律性,比如递增等差数列,
那我就打乱了发给你,地址分配都是有区域性的,可以通过源路由回溯或源认证判定。
一个属于中国广东的IP地址,竟然是从米国来的,那肯定是有问题啦!
对于TCP SYN Flooding,给回个RST先,如果你不来了,那就直接加黑名单了。
以上可以干掉一大部分攻击了,但是对于有大量肉鸡的人来说还是防御不了。
3)真实源:
真实源的攻击成本比较高,不是谁都可以拥有僵尸网络的,也不是所有的僵尸网络主机都可用。
黑名单库,大数据学习,限流等,都是有效的防御手段,而且还可以与ISP的DDoS系统联动。
如果这些手段还是有一些防不住的流量呢?
能绕过以上防御手段的恶意流量攻击那就得上高防IP服务器,进行流量分散让多个高防服务器IP先抵挡住大部分的恶意流量,后在接入主机服务器防火墙过滤最后流量才进入到业务主机上,这样受到的影响就是最小的了!
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
