如何使用負載均衡裝置防禦攻擊
負載均衡裝置作為關鍵應用的入口,自然也成為各種攻擊的目標所在。如何確保負載均衡裝置在自身不會癱瘓的前提下保護後端伺服器,是負載均衡器必須解決的問題。事實上,負載均衡裝置從誕生之日起,其高併發會話和新建連線速率讓防火牆產品相形見絀。另外,絕大部分攻擊目標IP恰好是落在負載均衡裝置上的虛擬IP(VIP),相對於防火牆處理經過流量的方式,負載均衡裝置更瞭解這些應用應該如何保護,自然適合施加針對虛擬IP和後端伺服器的策略。在負載均衡裝置外面設定防火牆的,是一些使用者既有的管理原因導致。對於真正大流量的網際網路應用,鮮有在負載均衡裝置外側部署防火牆的。下面以A10網路的AX產品具備的各種攻擊防禦方式進行介紹。
1. 首先,針對最常見的SYN Flooding攻擊,負載均衡裝置採用廣為使用的SYN Cookie機制進行防禦。使用者關注的就是其SYN Cookie效能了。A10的高階裝置採用硬體處理SYN-Cookie,可以防禦高達50M SYN/Sec(約3個萬兆+3個千兆埠打滿攻擊流量)的DDoS攻擊,而且對CPU影響為0.
2. ICMP速率限制。針對類似Smurf的基於大量PING的攻擊,負載均衡裝置可以限制每秒處理的ICMP包數量。
3. 基於源IP的連線速率限制,適用於TCP和UDP。越來越多的分散式DoS攻擊為有效TCP連線或者UDP攻擊。對於來自單一IP連線速率超過設定值的,負載均衡裝置可以對該IP地址採取丟棄、傳送日誌告警、鎖定一定時間等多種操作。
4. IP異常攻擊防禦。針對Land-attack,Ping-of-Death等常見攻擊型別,A10的負載均衡裝置可以檢測並丟棄。
5. 訪問控制列表(ACL),基於IP五元組進行過濾,不再贅述。
6. 基於策略的伺服器負載均衡(PBSLB),A10的負載均衡裝置可以支援高達800萬條主機記錄的黑白名單,該名單可以通過TFTP伺服器定期自動更新,更新期間無過渡漏洞。較之路由器的ACL或防火牆策略數量高出數十倍。可以針對該名單內地址限制連線數量,可以分為不同組,選擇丟棄或轉發到不同組伺服器。該特性可以與A10其它防攻擊特性結合動態生成黑白名單。
7. 虛擬伺服器/伺服器連線數量限制。根據伺服器的能力,限制分配到單臺伺服器或整個虛擬伺服器的連線數量。避免伺服器由於連線過多而癱瘓。該限制可應用於伺服器或其某個服務埠。
8. 虛擬伺服器/伺服器連線速率限制。上一項限制的是同時保持的靜態連線數量,這一項則是限制新建連線的速率。對於大量短連線攻擊或突發流量,併發連線數不大,但大量新建連線同樣可以讓伺服器癱瘓。
9. HTTP併發請求限制和請求速率限制。針對目前大量的CC攻擊,上述基於連線數和連線速率的限制已經無能為力,因為CC攻擊往往是在單一TCP連線上傳送大量HTTP請求。A10的負載均衡裝置將基於7層請求的攻擊防禦與強大的黑白名單功能結合,可以限制單一IP來源的併發總連線數、新建連線速率、併發請求數、請求速率。不同使用者IP可以分為不同組,設定不同引數。
10. DNS合規性檢查。針對應用之首的DNS,攻擊防禦更是不可忽視。除了上述通用特性外,A10的負載均衡裝置可以檢查DNS資料包得合規性,對於格式不符合DNS協議標準的資料包進行過濾或轉發到專門的安全裝置。
11. 動態DNS快取功能。由於DNS伺服器能力有限,如何在有異常流量時保護DNS伺服器並讓DNS服務正常執行,是使用者渴望解決的問題。A10的動態DNS快取功能可以根據後端DNS伺服器能力設定閾值,當針對某個域名的請求達到一定數量時,可以動態啟用該域名的快取功能,有負載均衡裝置應答DNS請求。這個功能的前提是負載均衡裝置的DNS處理能力足夠高。A10的入門級64位產品的DNS處理能力即可達到150萬DNS QPS(DNS請求/秒)。
12. 自定義指令碼。基於tcl語言的自定義指令碼可以讓使用者根據需求定義更為靈活的安全策略,尤其是A10的自定義指令碼可以呼叫上述高達800萬條目的黑白名單。
以上只是每個安全特性的簡單描述,每個安全特性都有一些細節功能,可以解決很多使用者頭疼的安全問題。後期會選擇部分功能詳細介紹。
(R.S.)
本文轉自 virtualadc 51CTO部落格,原文連結:http://blog.51cto.com/virtualadc/730514
相關文章
- Jenkins如何使用CrumbIssuer防禦CSRF攻擊Jenkins
- 如何有效防禦DDoS攻擊和CC攻擊?
- 如何使用Linux命令來防禦網路攻擊?Linux
- 網站被攻擊如何防禦網站
- 什麼是CSRF攻擊?如何防禦CSRF攻擊?
- 什麼是SSRF攻擊?如何防禦SSRF攻擊?
- XXE攻擊攻擊原理是什麼?如何防禦XXE攻擊?
- XXE攻擊是什麼?如何有效防禦XXE攻擊?
- 伺服器如何防禦CC攻擊伺服器
- DevOps 團隊如何防禦 API 攻擊devAPI
- CSRF攻擊與防禦
- CSRF 攻擊與防禦
- WEB攻擊與防禦Web
- CC攻擊包括幾個階段?如何防禦CC攻擊?
- CC攻擊的原理是什麼?如何防禦CC攻擊?
- DDoS攻擊的危害是什麼?如何防禦DDoS攻擊?
- CC攻擊分為幾種?遭遇CC攻擊如何防禦?
- 高防伺服器如何防禦網路攻擊伺服器
- 如何防禦惡意流量攻擊(CC、DDoS)?
- 如何防禦CC攻擊?常用方法有哪些?
- DDoS攻擊的手段有哪些?如何防禦?
- 直播行業如何防禦網路攻擊?行業
- DDOS和CC攻擊該如何有效防禦
- DDOS伺服器防禦的方法有哪些,如何防禦DDOS攻擊伺服器
- DDoS攻擊、CC攻擊的攻擊方式和防禦方法
- CSS keylogger:攻擊與防禦CSS
- CC攻擊原理是什麼?網站被CC攻擊如何防禦?網站
- 什麼是CC攻擊?網站被CC攻擊該如何防禦?網站
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- 常見網路攻擊有哪些?如何防禦?
- 電商平臺如何防禦網路攻擊?
- 網際網路公司如何防禦DDoS攻擊?
- Java HTTP Host 頭攻擊原理以及如何防禦JavaHTTP
- cc攻擊防禦解決方法
- 淺談DDos攻擊與防禦
- 如何防禦DDoS攻擊?學習網路安全多久?
- web常見的攻擊方式有哪些?如何防禦?Web
- SQL隱碼攻擊分為幾類?如何防禦?SQL
- 高防伺服器主要防禦的攻擊伺服器