什么是DDOS
DDoS-Distributed Denial of Service 分布式拒绝服务攻击,是一种网络安全攻击,其中攻击者利用大量计算机或其他设备向目标系统发送大量请求,使其无法正常响应或完全瘫痪,攻击手段为消耗服务器资源。
4层传输层的攻击包括在 ip,tls攻击,消耗socket资源。
7层应用层攻击还有伪造用户请求,进入到业务服务中,消耗服务器cpu以及数据库资源等。
特点:伪造,大量。
DDOS防护
ddos原生防护:阿里云DDoS原生防护是默认提供的基础防护服务,接入简单,直接使用阿里云本机房资源进行防御。其通过实时黑名单和智能分析流量,阻止常见DDoS攻击,但最大承载能力有限,在几百Gbps。
ddos高防:阿里云DDoS高防是定制化的专业防护解决方案,提供弹性防护、全面防护和专业支持,适用于对网络安全有更高要求的企业或网站。需要额外配置接入专门的ddos机房,配置麻烦,但能承载Tbps流量。
防火墙防护
web防火墙:主攻web方向,http层,支持ip黑名单,按ip限速等功能,但承载流量有限,超出需要额外计费。
云防火墙:通用性高,tcp udp层,偏向管理与网络问题自动化监测异常、告警。
DDOS防护 VS 防火墙防护
二者都可以对攻击流量进行拦截,所以有什么区别?
触发时机上
ddos不是实时生效的, 防火墙是常态化的 。
ddos只有在触发ddos场景时才会触发。某些防护功能比如端口封禁,ICMP协议禁用等,只有在ddos防护系统认为受到攻击时生效,才会生效。
功能
防火墙功能更丰富 ,更细致,如应用层规则设置 ,审计日志, 可以记录请求日志等。
小结
两者各有自己适合的场景,一般搭配使用,下面带入场景,在看下二者的效果。
场景
一个典型的部署结构,最外层域名,然后阿里云slb节点暴露做流量入口,后面再接application server。
当外部发起攻击时,如下图,阿里云slb本身是有基础的ddos防护的,当识别到的ddos攻击时,可以把这部分流量过滤掉。
但同时由此图也可以发现个问题,当攻击流量为中小量的时候,不会被判定为ddos攻击,从而触发不了ddos防护,比如突然每秒请求个几百次,这种对于中小型服务某些比较重的接口,可能造成cpu或者后面数据库等指标突刺,资源浪费。所以轻则被薅薅羊毛,重则可能造成服务的不稳定甚至短时间内crash。此时则可把防火墙加上,如下图,
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
s.csdn.net/topics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!