抵御 DDoS 攻击的基础设施安全¶
在这篇文章中
现代网络资源和互联网服务容易受到分布式拒绝服务 (DDoS) 攻击的影响,这可能导致关键系统故障,使整个公司和组织陷入瘫痪。因此,确保可靠的 DDoS 攻击防护是维持在线服务不间断运行的首要任务。HOSTKEY 提供来自 DDoS-Guard 公司的两种综合 DDoS 攻击防护解决方案:基础免费版和高级付费版。每种解决方案都有其独特的激活特性、防护级别和提供的功能。
警告
高级 DDoS 防护仅适用于专用服务器。
核心 DDoS 防护¶
综合 DDoS 防御系统是一种针对 DDoS 攻击的稳健解决方案,利用通过 BGP 宣告的路由和流量过滤。所有受保护的网络都会向所有提供商(包括 DDoS-Guard)宣告,确保通过标准 BGP AS-PATH 实现入站流量的最佳可用性。外部提供商知晓通往这些网络的多个 AS-PATH,并将路由信息存储在其路由器的路由信息库 (RIB) 中。
为了监控入站流量,在所有接入点配置了 Sflow 分析。当特定 IP 地址的流量超过阈值(服务器端口带宽容量加 50%)时,将触发激活机制。随后,该子网将停止向除 DDoS-Guard 以外的所有接入点宣告。提供商会清除 RIB 中其他 AS-PATH 的信息,仅保留通过 DDoS-Guard 通往受攻击子网的一条路由。DDoS-Guard 过滤流量,仅允许清洗后的流量到达服务器。
两小时后,该子网将重新向所有接入点宣告。如果攻击持续,该机制将再次激活。一项安全功能允许即使在攻击过于强大或复杂以至于穿透 DDoS-Guard 防御的情况下也能保护基础设施。在这种情况下,在初始触发后 10 分钟第二次触发激活时(此时子网已处于防护状态),将激活 DDoS 黑洞机制。它会向所有提供商发送 /32 路由,阻止通往特定 IP 地址的流量。黑洞激活两小时后会自动解锁。
增强型 DDoS 防御¶
免费版的 DDoS 防御在其先前的实现中存在一些不足。在处理防护场景时,由于切换到 DDoS-Guard 期间的丢包,服务会在几分钟内出现轻微降级。尽管对路由信息库 (RIB) 数据库的修改通常能够实现向备用路由的平稳过渡,但降级现象仍然存在。
此外,仅使用粗粒度的阈值,这意味着只有简单且有效的攻击才能触发防护。然而,该机制无法防范针对协议漏洞的攻击,例如小规模 SYN 洪水或 UDP 洪水攻击,这些攻击可能不会超过阈值,从而无法转入防护状态。虽然这些攻击通常对大多数服务不构成关键威胁,但某些网站可能会经历显著的性能下降。
为了解决这个问题,为关键服务提供了一种永久性的防御解决方案。已专门分配了几个指定子网用于此目的。这些子网仅通过 DDoS-Guard 宣告,并持续清洗恶意流量。
由于这些子网上的数据流量成本较高,因此该服务以付费方式提供。因此,增强版 DDoS 防御允许保护关键服务免受各种类型的 DDoS 攻击,包括针对协议漏洞的攻击以及可能不会在标准防护模式下超过阈值的小规模攻击。
服务差异¶
| 基础版 | 高级版 | |
|---|---|---|
| 激活条件 | 仅在超过特定流量阈值时 | 无论流量强度如何,持续防护 |
| 防护持续时间 | 2-4 小时 | 永久 |
| 独特功能 | 仅由阈值的严重违规触发,例如强大的 DDoS 攻击 | 防护任何强度的攻击,包括针对协议漏洞的小规模攻击(20 Mbps、SYN 洪水、UDP 洪水) |
| 服务降级 | 几分钟内的短暂服务降级 | 无 |
| 网络宣告 | 向所有提供商宣告,包括 DDoS-Guard | 指定的受保护网络仅通过 DDoS-Guard 宣告 |
| 最大反射式 DDoS 防护能力 | - | 650 Gbps |
| 防护级别 | L3/L4 | L3/L4 |