1 抗D平台需求分析
1.1 网站服务拓扑示意图
如上示意图,存在三个方面可能被攻击的点:
-
递归DNS服务器
这个点在运营商环境里,且全网分布众多,攻击成功存在一定的难度。但目前已经有类似的攻击成功案例,即攻击者针对一个个递归服务器进行攻击,攻击的目标是同一个域名,导致各个递归服务器运行很艰难,服务器的维护者会采取的措施是简单粗暴的过滤这一域名的所有请求,从而达到全网不响应该域名请求的结果。目前这类故障需要通过客户端来解决,本方案仅针对此类攻击提出关注。 -
权威DNS服务器
用户自建权威DNS服务器的情况下很容易遭受攻击导致服务中断,即使使用了一些服务商的DNS解析服务,这类服务商在提供服务的过程中,由于缺少足够的攻击防御能力,被攻击时一般会停止解析被攻击域名来达到整体服务器的稳定,所以权威DNS服务器是需要保护的一个关键点。 -
WEB服务器
WEB服务器是用户提供WEB服务的服务器,有的用户通过CDN来提供更快速的响应,但攻击者的攻击一般会直接攻击到源站上来,这种情况下,源站的带宽和性能都不具备攻击防御的基本条件,所以这里也是需要保护的另一个关键点。
1.2 防御后服务的拓扑示意图
以上的DNS服务防御以NS切入的方式进行设计,因为CNAME方式切入时,无法保护DNS,用户的DNS仍然存在被攻击至无法服务的局面。
1.3 设计需求
1.3.1 独立抗D服务
抗D平台作为独立的平台运行,提供拥有账户的用户使用高级抗D服务的完整流程,同时也提供接口支持与CDN平台分享用户的配置,以满足CDN用户的高级抗D需求,同时抗D平台的后续完善中也可以基于动静分离或CDN分发的技术来为常规抗D用户提供相应的加速需求,以改善抗D环境下的WEB服务质量。
独立运营状态下,抗D平台提供独立的WEB入口,支持用户添加网站、维护子域名、开启或关闭服务、配置策略以及查看报表等操作。平台支持系统由防御集群、调度中心、配置中心、数据中心和监控中心等系统组件组成。
1.3.2 CDN增值服务
CDN平台运行过程中,所服务的用户也会遭受DDOS攻击,这种情形下存在两种情况:
- 有明确的被攻击域名,即被攻击的IP上只有唯一的域名;
- 没有明确的被攻击域名,即被攻击的IP上有多个域名,通过其他手段也无法确定具体被攻击的域名。
当然也有CDN的用户意识到需要更高级别的抗D需求。
抗D平台设计时要支持CDN平台运行过程中的上述几种高级抗D需求。
2 防御集群架构
构建一套平台,用于保护常规的WEB服务,确保在大流量及超大流量攻击下,被保护的目标仍然能够正常或基本正常的提供服务,尽可能的减少监控点或网民对该服务因攻击可能产生的临时性故障的感知。基于对WEB服务的保护,主要防御的攻击包括针对WEB站点对应域名DNS服务的内容攻击、流量攻击、4层有状态攻击和针对WEB服务的内容攻击。
平台具备高可用性及可扩展性,支持多点并存的特性。具备高可用包括单机故障高可用和机房故障高可用两种,可护展性则明确为在网络出口带宽足够的情况下,可能通过简单的扩展硬件设备来提升处理能力。
针对大流量攻击的防御,主要拼的是带宽,所以不管是DNS服务还是WEB服务ÿ
最低0.47元/天 解锁文章
扫一扫
468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
