不管我们选择香港服务器或云服务器还承载业务,都必定绕不开DDoS的要挟。我们知道,典型的互联网安全装备预先包装了签名和规则,可以帮助辨认简单的攻击。这在许多情况下是有效的,但是没有辨别攻击流量和正在浏览网站的合法用户。基于签名的方法常常不能满足防御DDoS攻击的要挟。
关于DDoS防御,首先在于攻击检测和辨认。例如桂哥网络香港高防服务器,已集成完善的攻击自动化检测与处理系统,支持DDoS/SYN/UDP/ACK/ICMP/DNS/NTP/CC等各类攻击的精准检测,并自动切换高防线路实现保护。近日,美国FortiDDoS公司使用100%基于启发式/行动的检测方法可能为我们带来区分的思路。虽然基于行动的减缓措施具有某些没法避免的缺点,但值得仔细研究。让我们仔细看看基于行动的DDoS减缓是甚么。
一、意图与内容
基于行动分析的DDoS检测需要辨别:攻击者想要通过攻击实现甚么目的。为保持一定的侦测水平,攻击者常常试图将自己隐藏在已知的基于签名的检测方法中。基于行动的方法不容易被攻击者防范。
例如,大量的/index.html要求到您的网站对一组预定义的规则可能其实不奇怪,但是如果这些要求有一个服务器从未见过的卷,那末行动方法就能够认为这是一个潜伏的攻击。
以类似的方式,使用诸如Slowloris之类的攻击建立TCP连接在内容上是合法的,但是只能使用行动技术来辨认。
二、硬编码与自定义
值得一提的另外一个不同是自定义和硬编码规则集之间。您可以告知您的DDoS装备停止包括某些属性的所有流量,例如,防火墙具有允许或谢绝ICMP ping的规则策略。行动减缓装置允许您限制每秒ping的数量,因此只有在低于特定速率时才允许ping。这类上下文信息使得攻击减缓更加准确。
另外一种硬编码政策与费率本身有关,不是行动性的。例如,一个小型的信用社可能有一个平均流量为10Mbps的网上银行利用程序。而另外一处,有一家大型银行,可能会有10Gbps的平均流量。对较小的信用社,如果流量突然增长到110 Mbps,它可使服务器崩溃,而大型银行的服务器上增加100 Mbps只不过是一个小点。因此,有能力清晰地知道多少流量算是攻击,多少只是一个小点是行动减缓真正有效的地方。
三、总数据量与流量精细化
您怎样知道您是否是遇到了DDoS攻击?只是总数据包数或更多?
由于利用层攻击与网络和传输层攻击相结合,粒度指的是能够针对攻击的维度。在网络访问中它是否是是同一个用户代理,还是它是一个特定的URL,或只是分段的数据包,等等?攻击减缓系统越细化,越能够将流量切分成准确的维度,从而避免在攻击进程中出现误报。
四、固定与自适应
互联网业务流量历来就不是静态的。任何互联网的流量都有其逐日、每周、每个月和每一年的季节性。由于营销活动等缘由,流量也可能突然激增。自适应系统能够具有随时间调剂的行动流量阈值,以便任何剧烈变化被迅速辨认为攻击。
[本文首发:https://www.guigege.cn/。转载请注明出处!桂哥网络-热销推荐:高防服务器、云服务器、香港服务器、香港主机、机柜大带宽租用]
