456主机测评
想要保障网站网站的安全,防御DDoS、CC流量攻击,那就不得不来聊聊高防三兄弟:高防CDN,高防IP和高防服务器了。
我们先了解一下是什么是高防。“高防”,顾名思义,就犹如网络上加了类似像盾一样很高的防御,主要是指IDC领域的IDC机房或者线路有防御DDOS能力。
目前常见的DDOS攻击就是分布式拒绝服务攻击(全称:Distributed denial of service attack),也叫做洪水攻击,所谓洪水,则是来势汹涌,连绵不绝。作为主要流行的网络攻击手段,其主要思路是使攻击者采用分布式合理服务请求使目标资源、网络带宽耗尽,导致目标无法提供正常服务请求。也就是说DDoS攻击这段时间,增大了异常访问量,使目标崩溃或瘫痪。举一个很形象的例子,比如双十一期间,由于访问人数过多,淘宝网站瘫痪的样子。
另外CC(ChallengeCollapsar,挑战黑洞)攻击是DDoS攻击的一种类型,其原理是使用代理服务器向受害服务器发送大量貌似合法的请求。CC攻击是攻击者控制某些主机不停地发大量数据包给对方服务器,使对方服务器资源耗尽,造成服务器资源的浪费,并且CPU利用率长时间处于100%,永远都有处理不完的连接,网络异常拥塞,直到宕机崩溃。
有人的地方就有江湖,互联网上也是如此。
网络不断发达的今天,对于企业而言,信息是否安全可能会牵涉到企业存亡,信息安全的重要性更加凸显。
高防服务器工作原理
高防服务器主要就是靠资源硬扛的防御,就像有人要打你,你去买几把刀再穿个盔甲举个盾牌去防身。在实际操作中我们需要做的就是:一是在IDC机房出口扩容带宽,比如由100G扩容到600G甚至更高,当然这些需要配置高端的路由器设备,还有网络运营商的线路资源作为支撑。二是机房出口部署的防火墙设备需要逐步升级,就犹如在服务器前面加了个盾牌。“网盾服务器”就是满足这些硬性要求的基础上应运而生。
如果一旦攻击超过机房的出口,比如机房出口就200G,迎来一个高达600G流量的攻击该怎么处理呢?这个时候就需要运营商在机房出口的上层配合流量牵引技术,把正常流量和攻击流量区分开,并把带有攻击的流量牵引到机房有防御能力的防火墙设备上去,而不是选择自身去硬扛。就好比你自身防护装备齐全后,在敌人必经之路设置了很多路障或者暗器,先消耗他一部分精力,就好比作为虚伪目标牵扯住了部分攻击流量过来。
高防服务器目前使用的是单节点的高防,算是比较传统的防御模式。主要是通过架设防火墙设备和扩大带宽出口去抵抗清洗攻击流量,需要有充裕的资源作为支撑,说白了防御攻击的能力主要取决于机房的条件。
高防IP工作原理
高防御IP是利用各种区域内具有大带宽和保护能力的DDoS多个保护节点对源服务器的数据转发实现DDoS保护。单节点DDoS保护能力一般在300-1000Gbps之间。
理论上一个客户的网站或者应用遭受攻击的时候,将网站迁移到高防服务器不就可以了吗?但是很多时候,幸福(攻击)来的太突然,就像有人急着叫嚣要打你,你以为他只是声音大,结果马上就动手了。
如果你的网站之前在普通机房,又或者遭受的攻击超过了你当前机房的防御阈值,根本没有机会和条件及时迁移到高防服务器上,那一瞬间不就很尴尬,眼睁睁的挨打并且毫无反击之力。连给你去买武器买盔甲的机会都没有,这种情况下怎么办呢?
这时候高防IP就可以来救场了。立即购买使用高防IP,通过高防IP加端口转发并且是轮询的的方式,将攻击流量都引流到高防IP,让攻击者一直都去打举着“盾牌”的高防IP,而找不到源站在哪儿。此时,源站服务器依然可以稳定可靠的响应服务请求。就像有人打你,你找个大哥到前面挡着,他去应战,你去后面躲着偷着乐(听起来挺不厚道...反正是这个理儿)。
使用高防IP的好处就在于,用户不需要重新部署环境,转移数据,只需要快速做下转发设置。理论上任何服务器都可以使用高防IP来防护DDOS攻击,就好比买了一个盾牌可以拿来马上防身,既方便有快捷。
高防CDN工作原理
高防CDN就是带防御的内容分流网络(Content Delivery Network),原理就是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块。使用户就近获取所需内容,而不用直接访问网站源服务器。
使用高防CDN,不仅能解决不同地区的网络访问速度,还能有效减少因并发量太大给服务器带来的压力,可以隐藏网站源IP。其原理简单的说就是架设多个高防分发节点,任意一个CDN节点被攻击的时候各个节点共同承受。不会因为一个节点被攻击或者被打死而导致网站无法访问。依然可以比喻为有人要打你,你去喊一大帮强壮的兄弟部署等待在对手过来的路上去招架他们,打倒一个后面还有若干个候着。
高防CDN防御方式是通过使用足够的CDN节点来实现DDoS保护,一般需要至少超过10以上的CDN节点,而单个CDN节点具有20到100 Gbps之间的DDoS保护能力才能足够有效的抵御攻击。
三类高防产品的差别和总结
高防IP使用最方便,即买即用,WEB和游戏都合适。高防IP是无法像普通服务器那样有便捷的桌面操作或者远程登陆,只有一个控制面板作为设置界面。当你的源服务器遭到攻击,而又不愿转移数据信息或者更换服务器的时候,高防IP的牵引带系统会对总流量开展智能化分辨过虑,确保正常的流量可以对服务器发出请求并获得正常的解决。高防IP适用于应用方面的防护,如游戏业务,各种应用业务系统等。
高防服务器属于单机防御,拿机房服务器硬扛,属于单打独斗的解决方案。需要将服务器放置在高防机房中。“物以类聚,人以群分”,高防机房中的服务器,大部分来自于易受攻击的行业,容易受其他被攻击的服务器的影响,防御成本较高。理论上来说,防御成本永远比攻击成本高,对流量攻击的防御比较有限,受到超过防御的攻击时只能做黑洞牵引,需要运营商上层调度配合,而且攻击过大时影响网络出口拥塞,和网络稳定性,不能灵活部署。
高防CDN是多点防御,还有加速功能,适合WEB方面。相比而言,高防CDN 防御DDoS能力是要弱于高防IP的,但高防CDN 网站加速能力优越,适用于对网站加速和DDoS防御要求不太高的用户,如大型门户网站(比如商城,首页图片过多)和其他业务。
本文来自:https://www.lnyatoo.com/guandian/16731.html
原文链接:https://blog.csdn.net/AM11254646/article/details/111480160?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522166980148316782427417751%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=166980148316782427417751&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-16-111480160-null-null.nonecase&utm_term=%E9%AB%98%E9%98%B2%E6%9C%8D%E5%8A%A1%E5%99%A8
- 海报
