利用先进的反DDoS系统防御TB级流量攻击 _DDoS

DDoS预防简史分布式拒绝服务（DDoS）使用大量有效请求来消耗网络资源，并使服务无响应并且对合法用户不可用。目前， DDoS攻击是最有力的网络攻击防御之一。
DDoS已经在网络安全领域长期存在，并且是一种古老的攻击方法。DDoS预防也经历了不同的阶段。
内核优化在早期，没有专业的流量清理服务可用于防范DDoS攻击。当时，互联网带宽也相对较小，大多数人使用56K调制解调器获得拨号上网。攻击者只能利用一小部分带宽。通常，防御者可以通过优化内核参数和iptables来防止DDoS攻击。

文章插图

在此阶段， linux内置的功能可防御DDoS攻击。例如，对于SYN泛洪攻击，调整net.ipv4.tcp_max_syn_backlog参数，控制syn队列的上限以避免完全连接，并调整net.ipv4.tcp_tw_recycle和net.ipv4.tcp_fin_timeout以使TCP保留数量TIME-WAIT和FIN-WAIT-2中的连接。对于ICMP泛洪攻击， Iptables被调整为关闭或限制ping数据包的速率或过滤不符合RFC协议的格式错误的数据包。但是，这种保护方法只优化了一台服务器。随着资源攻击强度的增加，这种保护方法无法有效抵御DDoS攻击。
专业的Anti-DDoS硬件防火墙专业的防DDoS硬件防火墙可以优化功耗，转发芯片，操作系统等。这些防火墙可以满足DDoS流??量清洗的需求。通常， IDC服务提供商购买反DDoS硬件防火墙并在数据中心的入口处部署它们，以便为整个数据中心提供清理服务。这些清理服务的性能逐渐从最初的每台100 MB发展到1 Gbit / s ， 10 Gbit / s ， 20 Gbit / s ， 100 Gbit / s或更高。这些清理服务涵盖从第3层到第7层的各种攻击，例如SYN-FLOOD ， UDP-FLOOD ， ICMP-FLOOD ， ACK-FLOOD ， TCP连接泛洪， CC攻击， DNS-FLOOD和反射攻击。
但是，这种DDoS预防方法对于IDC服务提供商来说非常昂贵。每个数据中心的入口都需要擦洗设备，需要特殊的维护人员来维护设备和服务。此外，并非所有IDC都具有相同的擦洗和保护功能。一些小型数据中心的上行链路可能只有20 GB带宽，无法重复使用这些擦除设备。
云时代具有安全IP地址的高级Anti-DDoS系统在云时代，服务部署在各种云或传统的IDC中。提供的DDoS清理服务没有一致的标准。在超大量DDoS攻击流量的情况下，托管服务的数据中心无法提供匹配的保护功能。为了保护服务免受影响，我们必须创建“黑洞”概念。采用黑洞机制后，当服务器的攻击流量大于IDC中的黑洞触发阈值时， IDC将阻止该服务器的Internet访问，以避免持续攻击并确保IDC的整体稳定性。
在这种情况下，具有安全IP地址的高级防DDoS系统通过为数据中心提供高带宽，将流量转换为这些IP地址，然后将清理后的流量转发到用户的源站，提供了一整套防DDoS解决方案。此保护方法支持重用数据中心资源，并允许数据中心更多地关注其预期角色。此外，这种保护方法通过以基于SaaS的方式提供DDoS清理服务来简化DDoS预防。
云时代具有安全IP地址的高级反DDoS系统可以满足高带宽的需求。它还允许用户隐藏其源站并灵活地更改清理服务提供商。
具有安全IP地址的高级Anti-DDoS系统的关键组件
带宽和网络带宽和网络是实现DDoS保护的首要要求。为了有效防御DDoS攻击，我们需要做的第一件事就是建立一个高带宽的数据中心。目前，中国的主流数据中心是单线数据中心，只有一家网络提供商（中国电信，中国联通或中国移动）和多线BGP数据中心，这些中心拥有多个网络提供商。
多线与单线数据中心
特点：