剛剛有幾個客戶說受到CC攻擊,附帶DDOS攻擊,接入了CDN後,防不住,問我高防是否可以防的住?我說當然可以啦,那我們就分享下選擇DDOS防禦的幾個關鍵因素是什麼?DDOS防禦不隻是技術或服務的滿足。底層網絡的穩定性和可靠彈性是網絡防護的重要組成部分。需要對其進行全方位的評估,以此來確定能承受多麼複雜的DDOS攻擊時不會受到任何影響。DDOS防禦時需要考慮的關鍵因素:
1、受DDoS攻擊的防護時,需要考慮是否可以做到實時防護大流量攻擊。在過去的幾年裡,DDoS攻擊量逐漸在增長,每年的攻擊峰值都會達到新的高峰。目前,最大的DDoS攻擊是針對GitHub的基于memcache的攻擊。這種攻擊達到了大約1.3兆位/秒(Tbps)和1.26億個包/秒(PPS)的峰值。由此可以看出選擇防護的大小很重要。是以防禦時避免大流量的攻擊,我們清洗流量都需要選擇足夠覆寫攻擊量并且要有多餘的空間來容納其他有可能發生攻擊的防護。
2、擁有大量容量這遠遠是不夠的,重要的還有專門用于清洗,過濾惡意流量的技術,一些情況下大家會采用邊緣的安全方法,比如選擇對其内容分發網絡的CDN進行防禦。如果是一些比較小的攻擊流量,那有可能就防住了,但遇見大一點的流量以及CC并發時,就無計可施了。是以要告訴大家CDN主要是用來加速緩存的,針對于CC防禦不是它的強項。那麼有的人就會心存疑問,我主要有CC攻擊的時候也有一些DDOS攻擊怎麼辦?那就選擇這兩種都防的安全産品。一些更謹慎的做法是将重點都放在網絡上,網絡的容量專門用于DdoS清洗,并與其他服務(如CDN、WAF)隔離。
3、根據其攻擊大小部署DDOS防禦的解決方案,確定服務的可靠性及響應速度。基于DDOS防護利用CNME解析域名,隐藏客戶源IP,攻擊打到防護上通過清洗,過濾惡意的流量,将正常流量回源至客戶源伺服器上,這個過程就要考慮延遲性。影響延遲的主要是距離導緻,是以這個時候安全防禦公司就要考慮到分布BGP優化線路機房的情況,即使有一定的延遲,那也需要選擇最小化的延遲。
4、伺服器的選擇也很關鍵,一般都是需要選擇穩定性以及分布的網絡節點很強的,要以最大響應速度以及最大彈性為基礎,不能說你發送了請求,然後對方需要确認送出表單流程什麼的,不能及時處理。是以鑒于避免發生此類事件,一般會基于任意類型路由在IP位址和網絡節點之間建立一對多的關系(即,有多個網絡節點具有相同的IP位址)。當一個請求被發送到網絡時,可以自主确定哪個網絡節點是最優的目的地,然後進行切換。
是以DDOS防禦不隻是技術和服務,還有網絡基礎設施也很重要。根據自己的企業選擇合适的防護,一般小的網站類型的攻擊量不是特别大,但遊戲以及金融行業的一定要慎重,如有攻擊就會比較高,要選擇大容量的防護去做防禦,避免不必要的損失。
