死扛无限防御-DDoS/CC流量清洗

最新推荐文章于 2022-11-15 10:22:18 发布
最新推荐文章于 2022-11-15 10:22:18 发布
阅读量790 收藏
点赞数
文章标签: 安全 网络
原文链接:https://www.sohu.com/a/360656262_100184097
版权

版权声明:本文为搜狐号博主「迷途斑鸠」的原创文章,遵循版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.sohu.com/a/360656262_100184097

在高防服务器租用中,“宽带流量清洗解决方案”的实施,减轻了来自于DDoS攻击流量对城域网造成的压力,提升带宽利用的有效性;保护企业网络免受来自互联网的攻击,提高网络性能,实现其核心业务的永续,保障其核心竞争力。

高防服务器宽带流量清洗解决方案提供的服务包括:网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。

宽带流量清洗解决方案主要分为三个步骤。

第一步,利用专用的检测设备对用户业务流量进行分析监控。

第二步,当用户遭受到DDoS攻击时,检测设备上报给专用的业务管理平台生成清洗任务,将用户流量牵引到流量清洗中心。

第三步,流量清洗中心对牵引过来的用户流量进行清洗,并将清洗后的用户合法流量回注到城域网。同时上报清洗日志到业务管理平台生成报表。其原理图如下:

死扛无限防御-DDoS/CC流量清洗

解决方案涉及的关键技术包括对DDoS攻击的检测防御,对被攻击用户的流量的牵引和清洗后的流量回注。其具体技术请见下面天下数据小编为大家分享的描述。

流量检测防御技术

流量清洗宽带流量清洗解决方案,流量检测和防御功能由旁挂在城域网的专用探测和防御设备实现。

DDoS探测设备通过对城域网用户业务流量进行逐包的分析和统计,完成用户流量模型的自学习,并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后,探测设备向专用的业务管理平台上报攻击事件。

DDoS防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和计算用户行为的单向防御技术,可以实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量。支持丰富的攻击防御功能,如,SYN Flood,UDP Flood,ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常见攻击的防御。

流量牵引技术

为了在用户的业务遭受DDoS攻击时,将用户的流量动态的牵引到流量清洗中心来进行清洗。流量清洗中心利用IBGP或者EBGP协议,首先和城域网中用户流量路径上的多个核心设备(直连或者非直连均可)建立BGP Peer。攻击发生时,流量清洗中心通过BGP协议会向核心路由器发布BGP更新路由通告,更新核心路由器上的路由表项,将流经所有核心设备上的被攻击服务器的流量动态的牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性,确保清洗中心发布的路由不会被扩散到城域网,同时在流量清洗中心上通过路由策略不接收核心路由器发布的路由更新。从而严格控制对城域网造成的影响。

流量回注技术

流量清洗系统支持丰富的网络协议和多种物理接口来实现将清洗后的流量重新注入到城域网。可以提供策略路由、MPLS VPN、二层透传、双链路等多种方式进行用户流量的回注。

完善策略防护机制
一、安全防护:

1.源头控制(ip)

-封闭式:限定访问的IP(指定服务器才能访问即授权访问)

-开放式:白名单IP允许

-开放式:黑名单IP禁止

-开放式:业务行政物理地址外IP禁止(IP定位),消除代理攻击

-开放式:业务行政物理地址内IP允许(IP定位),消除代理攻击

2.端口控制

-知名端口:常用的知名端口,如80,修改知名端口或关闭不必要知名端口。

-匿名端口:采用不常用的端口号,端口不连号。

3.应用场景控制(手机或PC和其他)

-手机端:只会在手机端使用的接口,不对其他终端响应

-PC端:都可以访问

-特定场景:特定场景使用的接口不暴露,且做场景分析控制,非场景下不允许使用

4.频率控制

-访问间隔:连续访问间隔控制

-周期间隔:周期内访问间隔控制

-周期访问次数:周期访问次数控制

-特定场景访问次数控制:特定场景次数分析

5.请求地址控制

-不存在的地址控制

-恶意攻击地址控制

6.参数控制

-多余的参数:多余的参数分析和记录

-SQL攻击:SQL攻击

-XSS攻击:js脚本攻击和url检测

-参数取值:合理取值范围和类型

7.流程控制

-流程漏洞控制,确保没有流程空白

-多接口混合使用形成的流程漏洞控制

8.缓存控制

-缓存更新漏洞机制

-缓存不同步漏洞控制

9.bug错误控制

-异常控制

-异常暴露

-异常流程控制

-bug对设计的冲击控制

10.系统协作控制

-多端协作流程漏洞控制

11.分布式控制

-数据一致性漏洞

-其他

12.服务器漏洞

-漏洞检测和修复

二、保护措施:

1.拒绝服务:当次停止响应,减少性能消耗

2.拉黑:后续全部停止响应

3.限制降频:降低允许访问的频率

QQ3002907410
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cncert/cc DDOS 清洗 流量清洗 IDC AFC AFD ICP
韩梦飞沙_韩亚飞
04-09 1477
==cncert/cc互联网应急中心国互联网应急中心(英文:National Internet Emergency Center,缩写CNCERT或CNCERT/CC)全称是国计算机网络应急技术处理协调中心==只要了解了他们的攻击手段,具有丰富的网络知识,就可以抵御黑客们的疯狂攻击。任何时候都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术。这对提高整个...
游戏盾无限防御DDOSCC攻击
weixin_45967826的博客
09-03 744
游戏很容易招到黑客攻击,尤其是对于一些比较出名的平台,风险就更高一些。究竟为什么黑客这么喜欢攻击地方性游戏呢? 经过许多被攻击的案例显示,黑客之所以会选择攻击棋牌游戏平台是以下原因: /1、盗卖游戏币。一般这种情况会出现在比较成熟的平台上,使用这种方式通常都是长期进行的过程。就像蛀米虫一样,慢慢的、悄悄的进行。 2、勒索行为。这个是绝大部分黑客攻击平台的原因。如果出现这个原因的,黑客就不会专门去挑选平台,无论平台大小、是否成熟。做这种事的也并不是技术十分了得的黑客,只是为了贪图一些小钱的网络流氓罢了。 3、
网站如何清洗DDOSCC
weixin_34025151的博客
06-06 262
互联网化的时代,我们可以从很多渠道了解作为网络安全毒瘤的DDoS***和CC***,即使如此,我们依旧要知晓他们***时发病的症状,方可对症下药,防御***。DDOS:1、网络被大量占用2、服务器CPU负荷运行,响应缓慢3、阻断用户访问服务器4、域名ping不出IPCC***:CC***症状就更容易通俗易懂了,服务器能正常连接到,但是网站打不开,服务器连接不到,网站也打不开,就是你发病时,你不...
带你了解DDOS防御流量清洗的技术方法
cilin7010的博客
07-10 3021
遇见DDoS攻击的时,目前的防护技术中避免不了的会出现流量清洗过滤等词,客户都会很疑惑流量清洗,是怎么清洗的,会不会把正常的访问请求一起过滤清洗掉呢?这是站在客户角度最关心的一个问题,这种想法很正常,因为谁都不想损失客户嘛。...
DDoS攻击:无限战争
xuanyuan_fsx的专栏
01-13 1756
前情回顾:经过黑衣人和老周的合作,终于清除了入侵Linux帝国的网页病毒,并修复了漏洞。不曾想激怒了幕后的黑手,一场新的风雨即将来临。详情参见:一条SQL注入引出的惊天大案1风云再起小Q...
中新金盾,专业抗DDOS/CC硬件设备技术资料
02-23
**中新金盾:专业防御DDoS/CC攻击的硬件设备技术** 中新金盾是一专注于提供专业抗DDoS(分布式拒绝服务)和CC攻击硬件设备的网络安全解决方案供应商。其产品和服务致力于保护网络基础设施免受恶意流量的冲击,...
DDoS攻击--CC攻击防护详解(HTTP).docx
12-04
DDoS 攻击是一种常见的网站攻击方法,CC 攻击是其中的一种,俗称 Challenge Collapsar 攻击。CC 攻击针对 Web 服务在第七层协议发起攻击,攻击者通过匿名代理服务器在互联网上寻找匿名的 HTTP 代理或者 SOCKS 代理,...
阿里云DDoS基础防护-产品简介-D.docx
10-11
基础版DDoS防护采用了自主研发的技术架构,包括BGP和DNS两种引流方案,并采取被动清洗和主动压制相结合的方式,对攻击进行有效防御。通过结合Web安全过滤、信誉系统、七层应用分析、用户行为分析、特征学习和防护...
华为AntiDDoS1900系列防御系统详版彩页-中文版.pdf
09-23
例如,在企业网中,清洗设备可以直路部署在企业网入口处,对进出企业的流量进行实时防御。在数据中心中,清洗设备可以旁路部署在核心路由器上,对到达防护对象的流量进行检测和清洗。 华为AntiDDoS1900系列防御系统...
不用防火墙自动对付CC攻击防范vbs
09-30
面对CC攻击,传统的防火墙可能难以有效防御,因为它难以区分正常用户和恶意用户的行为。因此,我们需要采取其他措施来防范: 1. **限制并发连接数**:设置Web服务器限制每个IP地址的最大并发连接数,超出限制的连接...
如何清洗DDOS呢?
fzy18757569631的博客
11-15 571
.
DDoS流量清洗服务
weixin_34184158的博客
11-12 540
DDoS流量清洗服务- DMS(DDoSMitigation service)是网宿科技针对大流量DDoS攻击推出的云清洗解决方案,能提供综合防护能力达600G的防护服务,保证网站在面临各类网络层、应用层DDoS攻击时安全、持续可用。 主要功能 网站隐藏保护 隐藏网站的 IP 地址,向网站访问者提供服务的 IP 地址全部为网宿安全节点,黑客无法...
DDoS流量清洗方案
weixin_33754065的博客
12-23 326
绿盟科技的DDoS提到“一方面,我们需要消除主机、网络网络设备的DDoS安全隐患,即DDoS的“治理”;另一方面,我们需要采用各种方式减小DDoS***造成的影响,即DDoS的“缓解”。”其中,DDoS的“缓解”则包括流量稀释和流量清洗,今天《DDoS流量清洗方案》就跟大分享一下如何做DDoS流量清洗。《DDoS流量清洗方案》本文来自绿盟科技解决方案1. 安全问题、...
数据清洗--cleancc
热门推荐
一名新生程序员的日常
05-03 1万+
数据清洗–cleancc cleancc 快速清洗数据内容可以 项目地址(欢迎star):https://github.com/Amiee-well/clean 使用方法 pip install cleancc import cleancc 共有五个函数调用: 1.第一个函数为punct: [ ​ 去除标点并让所有字母小写 ​ :param pop_list:所要处理的的列...
什么是流量清洗?什么是Anti-DDoS流量清洗
m0_67776192的博客
04-20 2073
Anti-DDOS流量清洗 Anti-DDoS流量清洗服务(以下简称Anti-DDoS)为公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时,Anti-DDoS可以提升用户带利用率,确保用户业务稳定运行。 Anti-DDoS通过对互联网访问公网IP的业务流量进行实时监测,及时发现异常DDoS攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS为用户生成监控报表,清晰展示网络流量安全状况。 什么是流量清洗流量清洗是用于准.
流量清洗是什么意思?
LuHai3005151872的博客
10-19 3406
流量清洗是什么意思:很多朋友问过“DDoS流量清洗是什么意思?”,今天为大做一下科普,流量清洗服务是提供给租用IDC服务的政企客户,针对对其发起的DOS/DDOS攻击的监控、告警和防护的一种网络安全服务。 随着互联网的不断发展,网络在给我们带来便利的同时也带来了不少威胁。不管是个人还是企业,对于网络安全问题越来越重视,越来越多的企业开始接入专业的网络安全高防产品。在网络高防服务中,我们常常听到“流量清洗”这样的说法,那这个“清洗”是什么意思呢?今天技术团队就来给大说说高防中的“清洗”是指什么服务。 流.
DDoS异常流量清洗解决方案
gnaw0725博客
12-02 1万+
DDoS异常流量清洗解决方案》本文来自绿盟科技解决方案 1. 安全问题、压力和挑战 DDoS攻击是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。 DDoS攻击从种类和形式上多种多样,从最初的针对系统漏洞型的DoS攻击(如Ping of Death),发展到现在
DDoS流量清洗解决方案选择七大误区
chengfangang的专栏
01-05 3179
团购导航DDoS攻击愈演愈烈,攻击的规模也越来越大。用户应该如何选择DDoS流量清洗方案、产品,才能避免无谓的设备采购,最终选择适合自己的产品,达到控制成本的同时又能有效防御DDoS攻击。本文阐述了DDoS流量清洗产品选型的七大误区,以及相应的注意事项。 误区一:选择防火墙或入侵检测IPS来清洗DDoS分析:防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统
DDOS流量清洗,全面防御DDoS攻击
u012721712的专栏
07-13 1999
DDoS攻击的危害: DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DDoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DDoS攻击的困难程...
ddos高防和传统anti-ddos的区别
最新发布
03-28
DDoS高防则采用了更加先进的技术和设备,包括负载均衡、应用层防护、流量清洗等。针对大规模的DDoS攻击,DDoS高防可以通过将攻击流量分散到多个服务器上,对攻击流量进行分析和清洗,最终将合法流量传递到目标服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值