¿Cuáles son las medidas de protección para los ataques DDos convencionales basados en el tráfico?
1. Equipo de protección DDos local
Cuando una organización maliciosa lanza un ataque DDos, los primeros en detectar y actuar suelen ser el equipo de protección DDos en el centro de datos local y la protección local. equipos de instituciones financieras se utiliza principalmente el método de implementación de espejo de derivación. Los equipos de protección DDos locales generalmente se dividen en equipos de detección de DDos, equipos de limpieza y centros de gestión. En primer lugar, el equipo de detección de DDos utiliza el método de autoaprendizaje de la línea base de tráfico para recopilar estadísticas basadas en diversas dimensiones relacionadas con la defensa, como la tasa de mensajes de sincronización, la tasa de acceso http, etc., para formar una línea base del modelo de tráfico, generando así umbrales de defensa. . Una vez completado el aprendizaje, continúe haciendo estadísticas de tráfico de acuerdo con las dimensiones del aprendizaje de referencia y compare los resultados estadísticos de cada segundo con el umbral de defensa. Si excede el umbral, se considerará anormal y se notificará al centro de gestión. . El centro de gestión entrega la política de desvío de tráfico al dispositivo de limpieza e inicia la limpieza de desvío de tráfico. La limpieza de tráfico anormal identifica y limpia el tráfico de ataque mediante varios métodos, como características, líneas de base y confirmaciones de respuesta. Después de una limpieza anormal del tráfico, para evitar que el tráfico se dirija nuevamente al equipo de limpieza DDos, se puede utilizar el enrutamiento de políticas en la interfaz de reinyección del dispositivo de salida para forzar que el tráfico reinyectado vaya a la red interna del centro de datos y acceda al sistema de destino.
2. Servicio de limpieza del operador
Cuando el tráfico de ataques de tipo tráfico excede el ancho de banda del enlace de Internet o el rendimiento del equipo de limpieza DDos local no es suficiente para hacer frente al tráfico DDos. ataques, es necesario utilizar los servicios de limpieza del operador o utilizar operadores para aumentar temporalmente el ancho de banda para limpiar el tráfico de ataques. Los operadores utilizan servicios de limpieza para ayudar a los usuarios a resolver ataques DDos que consumen ancho de banda a través de equipos de protección DDos en todos los niveles. La práctica ha demostrado que los servicios de limpieza de los operadores son más eficaces para hacer frente a los ataques DDos basados en el tráfico.
3. Servicio de limpieza en la nube
Cuando la limpieza del tráfico DDos del operador no puede lograr el efecto deseado, puede considerar la activación de emergencia del servicio de limpieza en la nube del operador para el enfrentamiento final. Basándose en el centro de limpieza de tráfico anormal distribuido en la red troncal del operador, se implementa tecnología de limpieza distribuida de fuente cercana para limpiar el tráfico cerca de la fuente del ataque en la red troncal del operador para mejorar las capacidades de resistencia a los ataques. Si tiene escenarios aplicables, puede considerar el uso de CNAME o métodos de nombre de dominio para resolver el sitio de origen en el nombre de dominio en la nube del proveedor de seguridad para lograr el desvío, la limpieza y la reinyección del tráfico, y mejorar las capacidades anti-D. Este tipo de limpieza requiere cambios importantes en la ruta del tráfico e involucra un área grande. Generalmente no se recomienda como método de defensa de rutina diaria.
Los tres métodos de defensa anteriores tienen las mismas deficiencias. Dado que el equipo y los operadores de protección DDos locales no tienen la capacidad de decodificar el tráfico cifrado HTTPS, las capacidades de protección para el tráfico HTTPS son limitadas al mismo tiempo. Debido a que los operadores La mayoría de los servicios de limpieza detectan ataques DDos basados en Flow y la granularidad de las políticas a menudo es aproximada. Por lo tanto, el efecto de detección de los tipos de ataques DDos dirigidos a características de la capa de aplicación, como la lentitud CC o HTTP, a menudo no es ideal.