安全設(shè)備之常見的攻擊類型及防護原理

DDoS攻擊介紹

拒絕服務(wù)（Denial of Service，簡稱DoS）攻擊也稱洪水攻擊，是一種網(wǎng)絡(luò)攻擊手法，其目的在于使目標電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，服務(wù)暫時中斷或停止，導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為。當攻擊者使用網(wǎng)絡(luò)上多個被攻陷的電腦作為攻擊機器向特定的目標發(fā)動DoS攻擊時，稱為分布式拒絕服務(wù)攻擊（Distributed Denial ofService Attack，簡稱DDoS）。

常見的攻擊類型

防護原理

未部署抗DDoS系統(tǒng)時，源站直接對互聯(lián)網(wǎng)暴露，一旦發(fā)生DDoS攻擊，很容易導(dǎo)致源站癱瘓，如下圖：

業(yè)務(wù)把域名解析指向抗DDoS系統(tǒng)的高防IP或者把業(yè)務(wù)IP替換成抗DDoS系統(tǒng)的高防IP，抗DDoS系統(tǒng)將所有的公網(wǎng)流量都引流至抗DDoS系統(tǒng)的高防IP，進而隱藏源站，避免源站（用戶業(yè)務(wù)）遭受大流量DDoS攻擊，如下圖：

通過抗DDoS系統(tǒng)的高防IP代理源站IP對外提供服務(wù)，將所有的公網(wǎng)流量都引流至抗DDoS系統(tǒng)的高防IP，進而隱藏源站，避免源站（用戶業(yè)務(wù)）遭受大流量DDoS攻擊。

● 源站IP是源站服務(wù)器所使用的公網(wǎng)IP，也是被防護的IP地址，應(yīng)避免對外暴露（泄露）。

● 高防IP與源站IP相對應(yīng)，用于代替源站IP來面向客戶提供服務(wù)，使源站IP不直接暴露出去。

● 回源IP是高防機房代替客戶去和源站服務(wù)器通信的若干個IP地址（高防機房會將客戶的IP隨機轉(zhuǎn)換成某個回源IP，并由這個回源IP代替客戶IP去和源站服務(wù)器通信）。

網(wǎng)絡(luò)拓撲示意

抗DDoS系統(tǒng)采用分層防御、分布式清洗，通過精細化多層過濾防御技術(shù)，可以有效檢測和過濾攻擊流量。

應(yīng)用場景

通過對互聯(lián)網(wǎng)訪問公網(wǎng)IP的業(yè)務(wù)流量進行實時監(jiān)測，及時發(fā)現(xiàn)異常DDoS攻擊流量。在不影響正常業(yè)務(wù)的前提下，根據(jù)用戶配置的防護策略，清洗掉攻擊流量。

編輯：黃飛

?