Dos拒絕服務攻擊是通過各種手段消耗網路頻寬和系統CPU、記憶體、連線數等資源，直接造成網路頻寬耗盡或系統資源耗盡，使得該目標系統無法為正常使用者提供業務服務，從而導致拒絕服務。

常規流量型的DDos攻擊應急防護方式因其選擇的引流技術不同而在實現上有不同的差異性，主要分為以下三種方式，實現分層清洗的效果。
本地DDos防護裝置
一般惡意組織發起DDos攻擊時，率先感知並起作用的一般為本地資料中心內的DDos防護裝置，金融機構本地防護裝置較多采用旁路映象部署方式。

本地DDos防護裝置一般分為DDos檢測裝置、清洗裝置和管理中心。首先，DDos檢測裝置日常通過流量基線自學習方式，按各種和防禦有關的維度：

比如syn報文速率、http訪問速率等進行統計，形成流量模型基線，從而生成防禦閾值。

學習結束後繼續按基線學習的維度做流量統計，並將每一秒鐘的統計結果和防禦閾值進行比較，超過則認為有異常，通告管理中心。

由管理中心下發引流策略到清洗裝置，啟動引流清洗。異常流量清洗通過特徵、基線、回覆確認等各種方式對攻擊流量進行識別、清洗。

經過異常流量清洗之後，為防止流量再次引流至DDos清洗裝置，可通過在出口裝置回注介面上使用策略路由強制回注的流量去往資料中心內部網路，訪問目標系統
運營商清洗服務
當流量型攻擊的攻擊流量超出網際網路鏈路頻寬或本地DDos清洗裝置效能不足以應對DDos流量攻擊時，需要通過運營商清洗服務或藉助運營商臨時增加頻寬來完成攻擊流量的清洗。

運營商通過各級DDos防護裝置以清洗服務的方式幫助使用者解決頻寬消耗型的DDos攻擊行為。實踐證明，運營商清洗服務在應對流量型DDos攻擊時較為有效。

雲清洗服務
當運營商DDos流量清洗不能實現既定效果的情況下，可以考慮緊急啟用運營商雲清洗服務來進行最後的對決。

依託運營商骨幹網分散式部署的異常流量清洗中心，實現分散式近源清洗技術，在運營商骨幹網路上靠近攻擊源的地方把流量清洗掉，提升攻擊對抗能力。

具備適用場景的可以考慮利用CNAME或域名方式，將源站解析到安全廠商雲端域名，實現引流、清洗、回注，提升抗D能力。進行這類清洗需要較大的流量路徑改動，牽涉面較大，一般不建議作為日常常規防禦手段。

總結

以上三種防禦方式存在共同的缺點，由於本地DDos防護裝置及運營商均不具備HTTPS加密流量解碼能力，導致針對HTTPS流量的防護能力有限;

同時由於運營商清洗服務多是基於Flow的方式檢測DDos攻擊，且策略的顆粒度往往較粗，因此針對CC或HTTP慢速等應用層特徵的DDos攻擊型別檢測效果往往不夠理想。

對比三種方式的不同適用場景，發現單一解決方案不能完成所有DDos攻擊清洗，因為大多數真正的DDos攻擊都是“混合”攻擊(摻雜各種不同的攻擊型別)。

比如：以大流量反射做背景，期間混入一些CC和連線耗盡，以及慢速攻擊。這時很有可能需要運營商清洗(針對流量型的攻擊)先把80%以上的流量清洗掉，把鏈路頻寬清出來;

在剩下的20%裡很有可能還有80%是攻擊流量(類似CC攻擊、HTTP慢速攻擊等)，那麼就需要本地配合進一步進行清洗。
www。。jiyingyun。com q 300881195八

面對龐大的DDOS攻擊，應該怎麼維護伺服器。

相關文章