网络安全——流量牵引技术在DDoS防御中的应用
伴随互联网世界的飞速发展,各企业在享受迅捷的网络所带来的用户流量的同时,安全隐患却无处不在。针对IP发起的DDoS(分布式拒绝服务攻击)攻击就是其中的一种,它们利用合理的服务请求来占用大量的服务器带宽资源,把网站的合法访客堵在外面,从而得不到服务器正常响应。严重降低了服务器的可用性。
流量牵引的必要性 针对这种恶意流量攻击的行为,最初防御DDoS攻击都是根据防火墙上的抗DDoS模块来实现硬防,当面对超大规模的流量攻击,防火墙自身构造的瓶颈变得显而易见。之后,人们采用在网络中串联进抗DDoS攻击设备来抵抗更大规模的流量攻击,但与此同时,这些增加设备也相当于增加了潜在的故障点。而流量牵引技术通过疏导流量,有效提高网络抗DDoS的容错性。经过流量牵引后到达抗DDoS设备上的流量经过分流后必然有所减弱,流量越小抗DDoS攻击设备分析和防御能力就会越强。当针对server1的攻击流量到达抗DDoS设备的时候,我们面临两种可能,一种是能够防御的住,一种是防御不住。如果防御的住,那当然就不存在问题了。如果防御不住呢? 最多会造成一个地址不能被访问,将攻击所能造成的危害降低到最小,不至于因为一个点的攻击而导致整个网络不能通信,这个代价相比而言是最小的。 流量牵引的拓扑原理 当网络中存在攻击时,服务器遭受到了DDoS攻击,Probe监测到攻击行为后,目标为服务器1的流量将被转发到抗DDoS设备,这些流量到达抗DDoS设备经过有目的的检测、甄别、过滤,其余的合法流量将继续被转发到R2。而此时其它的流量仍然保持原来的路线,即直接从R1转发到R2。从而这些攻击流量和正常流量实现分离,防御性能高的服务器设备被用来专门抵抗DDoS攻击,而多数正常流量尽可能的不受到攻击的干扰,实现正常的访问。 流量牵引技术的实现 流量牵引拓扑从路由器到内部网络变成了双链路,而且又增加了一个新设备——Probe。假设服务器1正在受到攻击。Defender是在“黑洞”的基础上发展起来的,在已有技术的基础上加强了对应用层DDoS的防御。由于对针对服务器1的攻击流量被切换到了Defender上,外网到服务器2和服务器3的访问将不受到干扰,攻击的压力落在了Defender和服务器1上。这样我们就把被攻击事件限制在了局部。通常DDoS攻击目标明确,而且是持续不断的不定期的骚扰。必要的时候也可以通过Probe的监测功能来追踪攻击来源,Probe可以收集到整个网络的netflow信息,通过对这些信息的分析,判断出攻击流量进入网络的入口。层层追踪锁定攻击来源的范围。 DDoS防御需要一系列设备的联合部署、分工合作,同时也需要专业的技术人员进行合理架构和防攻判断,从而实现最大的防御效果和最轻微的网络影响。 本文出自hostspace(美国),www.hostspaces.net , 如有转载需要请注明出处。 (编辑:ASP站长网) |