利用先进的反DDoS系统防御TB级流量攻击( 二 ) _DDoS

灾难恢复：单线灾难恢复不充分，效率低下。如果数据中心遇到网络故障，则灾难恢复仅支持在业务层中进行切换。BGP具有冗余备份和环路消除功能。当IDC供应商具有多个BGP互连线路时，供应商可以以备份模式部署路由。如果一条线路出现故障，路由将自动切换到另一条线路。

另一个方面是最大带宽。目前， 300 Gbit / s只是一种基本的保护功能。保护级别高达一个Tbit / s或无限保护解决方案成为越来越多用户的选择。
多线路BGP数据中心的TB级保护能力也成为未来的发展目标。阿里云致力于为客户提供卓越的访问质量和保护能力的Anti-DDoS Pro 。
大型交通清洗集群
这是另一项关键技术。DDoS清理的核心部分是拦截攻击流量。以下是一般攻击类型和对策：
攻击预防当有足够的带宽时，我们需要考虑如何清除DDoS攻击流量。通常，专业的DDoS擦洗设备采用以下典型的保护和防范方法：丢弃畸形报文和特定协议，验证源反射攻击，统计速率限制行为识别。攻击通常包括SYN-FLOOD ， UDP-FLOOD ， ICMP-FLOOD ， ACK-FLOOD ， TCP连接泛洪， CC攻击， DNS-FLOOD和反射攻击。

丢弃格式错误的数据包和特定协议非常简单。指定的方法可用于防止反射攻击和不遵循RFC协议的消息。
源反射验证是防御SYN泛洪攻击的对策。通常，使用反向验证。擦除设备通过在TCP三次握手中回答SYN-ACK消息期间使用特殊算法生成的序列号来代表服务器验证访问源的真实性。该算法考虑了许多因素，例如双方的IP地址和端口，并验证ACK消息。如果访问是真实且合法的，则允许连接流量。同样，为了抵御复杂的CC攻击，可以使用图片验证码来验证看似潜在的攻击者是否是真实合法的客户。
统计速率限制和行为识别基于黑名单，白名单，用户访问率和行为来启用速率控制。

集群架构从目前的DDoS预防趋势来看， DDoS预防解决方案需要弹性扩展以更好地抵御攻击。在这里我们需要提到100 GB接口的流行度。通常，用于流量负载平衡的散列基于五元组的特征。如果针对攻击流量的五元组的哈希值不均匀，则更有可能发生拥塞。根本不会将流量发送到清理引擎。这也是大型集群清洁系统的重要组成部分。
预防性防御计划规划防御DDoS攻击的对策也非常重要。高效的规划需要多年的DDoS预防经验。在新攻击和紧急事件的情况下，快速分析和决策在解决问题方面发挥着关键作用。
负载平衡设备和安全组件
负载平衡是高级代理保护的关键技术。负载平衡包括第四层和第七层。
第四层负载平衡为每个客户的业务提供独有的IP地址。第四层服务器负载平衡本身需要高性能和高可用性转发功能以及安全保护功能，以抵御连接攻击。
第七层负载平衡目标是网站服务的代理保护。支持HTTP / HTTPS和防御CC攻击的功能已集成到第七层负载均衡系统中。

专用IP地址：专用IP地址的一个优点是，如果一个IP地址受到DDoS攻击，其他服务将不会因资源隔离而受到影响。
高可用性和高可扩展性：您可以根据应用程序负载扩展服务，而不会中断服务连续性。您可以根据需要增加或减少后端服务器的数量，以扩展应用程序的服务功能。
安全功能：您可以查看有关传入和传出流量的信息，并在域，会话或应用程序级别实施精确的DDoS保护。

为了实现最终的DDoS保护，有必要将第四层和第七层的深入安全能力开发与大流量清理集群相结合。
实时数据分析系统流量分析
首先，让我们看一下数据源。目前有许多数据源机制可用。一种众所周知的NetFlow机制，用于样本分析和攻击检测。一对一流量分割也可用于获取统计和检测的所有流量。显然，后一种方法需要更多的资源和更有效的数据分析系统。需要更多开发和技术支持的系统通常可以提高分析效率。
应用识别
获取原始消息和数据后，我们需要区分应用程序。可以在IP级别， IP +端口级别，域名级别或其他级别进行应用程序区分。不同的服务需要不同的预防方法我们需要根据特定服务的特征定制专门的预防计划。