嚴謹的防禦DDoS思路幫助你實現有效快速、高準確性的應對DDoS

現在各省DDoS清洗裝置涉及廠家眾多、差異性大，且暫無統一的集中管控平臺實現實現DDoS攻擊的全網協同處置。因此，建設全網集中統一的防禦DDoS安全體系已成為網路安全領域的緊迫需求和目標。

隨著IPv6、5G、物聯網、邊緣計算等新興資訊通訊技術和相關各類應用行業的快速發展，當前接入網路的終端型別和協議型別越來越豐富多樣，呈現出指數級的數量增長局面，在此情況下，數量眾多的新型終端更容易被駭客操縱實施DDoS攻擊，使防禦DDoS的難度加大。

同時，當前DDoS攻擊的攻擊源、攻擊目的、攻擊方法以及攻擊規模都在發生各種變化，從最初的自發式、分散式轉變為專業化的有組織行為，呈現出攻擊工具專業化、攻擊目的商業化、攻擊行為組織化的明顯特點，由此帶來的安全問題日益凸顯。頻繁發生、攻擊規模與日俱增的DDoS攻擊,降低了關鍵資訊基礎設施的效能,如網路頻寬和質量、資源利用率等，進一步影響網路和各類系統的正常執行，給承載於網路之上的網際網路業務和使用者帶來了業務風險和財產損失，造成較高安全威脅。

防禦 DDoS 建設思路

骨幹網級近源清洗

基於網際網路開放性的特點以及“就遠監測、就近處置”的思路，在攻擊流量進入骨幹網的最遠端，即靠近攻擊源的最近端，進行監測攔截、遏制攻擊流量，可以避免攻擊流量進入骨幹網造成擁塞，能夠節省大量骨幹網頻寬。近源清洗將清洗裝置分散部署在靠近攻擊源的位置，各部分清洗能力綜合起來可達到較為可觀的規模，且可以很好地彈性擴容。近源清洗能夠使網際網路分散式部署的攻擊防護手段效益最大化，從骨幹網層面為安全監控運維人員打通全域性攻擊溯源處置路徑，同時對各級網際網路上下協調、左右聯動、分割管理提出了更高的要求。

近源清洗涉及的關鍵技術是流量牽引和回注，主要裝置包括旁掛在骨幹路由器上的牽引路由器和清洗裝置。

部署 高防IP

雲時代的高防IP部署在各種雲基礎設施機房中，部署於雲上的業務系統可透過高防IP進行代理釋出，從而起到隱藏業務源站IP的作用。當雲上業務系統遭受到DDoS攻擊時，由於源IP被高防IP隱藏，高防節點即可對攻擊流量進行清洗，實現對DDoS攻擊目標的保護，同時將正常流量轉發到源站IP，從而保證了源站IP訪問的穩定性。高防IP可提供不間斷、實時、低時延、小抖動的大流量攻擊清洗能力，比較適用於遊戲、直播、電商、線上交易等時延敏感型應用。

高防IP依託於機房中出口路由器大頻寬網路的優勢，能夠提供T級別的防護能力，同時可支援溯源取證，為遭受DDoS攻擊、需要調查取證的業務提供取證服務。其組成裝置主要包括DDoS攻擊檢測裝置、大流量清洗裝置叢集和回源負載均衡裝置。

邊緣網路抗DDoS發展方向淺析

隨著5G、物聯網的飛速發展，透過網路邊緣節點接入網際網路的終端裝置越來越多，成千上萬的邊緣節點裝置成為了DDoS攻擊的潛在攻擊源，帶來攻擊源頭變化莫測、無限擴張、難以發現的問題，導致網際網路DDoS攻擊呈現出大規模、分散式的特徵。

相應的在DDoS監測處置手段方面，由於攻擊源和目標的分散性和隱蔽性，以及攻擊流量在網際網路中流經路由的不確定性，繼續無限制擴大延伸在固定網中應用效果良好的區域性防護系統會存在較大難度，投資成本高但可行性差，效果也未必能符合預期，因此獨立分割的監測體系和沒有協同的處置體系無法較好解決這一問題。

面向邊緣網路和節點的新一代DDoS檢測防護手段將逐步向分散式協作體系演進，重點突出各接入邊緣網路節點的協同性，提供就近的邊緣化抗DDoS服務。同時，藉助於網路功能虛擬化、雲端計算等技術構建高效合理的邊緣網路節點協同分工體系，是實現早期防禦DDoS有效快速、高準確性的方法。

在協同型DDoS安全防禦體系中，各邊緣節點之間建立一種P2P模式的網路結構，具有分散式基礎架構與計算正規化，同時將點對點傳輸、去中心化的分散式資料儲存與共享、共識機制和分散式信任體系、加密演算法防篡改等技術應用其中，構建一個具有區塊鏈特徵和優勢的網路，可有效應對分散式DDoS攻擊。

結束語

打造高效穩定的網路安全環境，首先就得做好防禦DDoS攻擊的各項措施，面對日趨複雜的DDoS攻擊，單一組織或單一防護形態是難以構建協同的治理生態環境的。與獨立集中式的DDoS攻擊處置方法相比，協同防禦方法具有更好的時效性和更低的成本，將攻擊流量在網路的邊緣透過大量閒置終端接入裝置進行處置，避免了複雜的流量引流以及流量清洗裝置的大量投入。

本文來自：https://www.zhuanqq.com/News/Industry/442.html