DDOS攻击防御
什么是 DDoS 攻击?
拒绝服务 (DoS) 攻击是一种恶意尝试,旨在影响合法最终用户对目标系统(如网站或应用程序)的可用性。通常,攻击者会生成大量数据包或请求,最终使目标系统不堪重负。在发生分布式拒绝服务 (DDoS) 攻击时,攻击者使用多个被破坏或受控的来源生成攻击。
为有效识别正常数据流和攻击数据流,数据流经过安全防护产品时一般会经过攻击检测和攻击防范是两个至关重要的阶段。通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行相应的防御措施。安全防护设备中常用的攻击检查和攻击防范特性包括:
● 异常检测:统计模型和机器学习算法(例如神经网络,决策树和近邻算法)可用于分析网络流量,并将流量模式分类为正常或DDoS攻击,还可检测网络性能因素中的异常,例如设备CPU利用率或带宽使用情况。
● 基于知识的方法:使用诸如特征码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法,可以通过将流量与已知攻击的特定模式进行比较来检测DDoS。
● ACL和防火墙规则:除了入口/出口流量过滤之外,访问控制列表(ACL)和防火墙规则可用于增强流量可见性。通过分析ACL日志,可以判断通过网络运行的流量类型;根据特定的规则、签名和模式配置应用防火墙策略来阻止可疑的传入流量。
● 入侵防御系统和入侵检测系统:入侵防御系统(IPS)和入侵检测系统(IDS)提供了额外的流量可见性。IPS和IDS识别的报警可以作为异常和潜在恶意流量的早期指示。
企业级 DDoS 保护需要多层过滤来清洗流量,减轻攻击。 由于新类型的攻击使用大量的带宽, 我们部署了大量的400 Gbps网络。 一旦攻击到达我们的网络集群, 我们就可以用 ACL 规则在网络边缘阻止绝大部分恶意流量。
在流量到达我们的清洗集群中心后,绝大部分恶意攻击流量会被我们基于签名特征的算法过滤清洗。这些签名是已知为DDoS攻击的预定义的流量模式, 以及可能表示DDoS攻击的流量模式异常的启发式算法。 我们检查和分析每个数据包,确保没有可能导致服务中断的恶意流量到达我们的客户端。
