DDoS缓解技术也称为DDoS防护技术,因此缓解才能体现技术本质,通常它不能彻底消除DDoS攻击对目标的影响,只能最大限度的减小流量攻击。目前随着DDOS攻防技术的衍变,我们对于DDOS缓解的认识也在深入改进中。现阶段缓解DDOS攻击的主要方法是对网络流量进行清洗,通过一些算法认证的技术手段将恶意的访问流量从全部的访问请求中剔除,然后将正常的访问流量回源到源服务器。但是随着拒绝服务攻击衍变,攻击流量的增大,形成了分布式拒绝服务攻击。进而单一的流量的清洗设备和流量清洗中心已经无法处理如此大规模的网络流量了。上周墨者安全听说在游戏行业出现了2T级的流量攻击。那面对当今这种大流量攻击时,在进行流量清洗时还需要进行流量稀释。
分布式拒绝服务攻击中的分布式主要的特性是攻击来源通常分布的非常广泛,会从国家的不同位置以及世界的不通过位置同时向目标发起攻击。从攻击来源分析,单个的攻击流量并不会很大,但是成千上万的攻击流量汇聚在一起,到达攻击目标时,全部的攻击流量就会完全占满被攻击者的网络出口带宽。因此就出现了CDN加速和分发网络的技术。CDN的工作原理是在互联网范围内通过DNS解析域名形式来设置多个节点作为代理缓存,并将用户的访问请求分发到最近的缓存节点,获取资源后再将结果缓存返回给用户,这样做用以加快访问速度。
还有一种是网络寻址和路由的方法,是一组提供特定服务的主机可以使用相同的IP地址,服务访问方的请求报文会被IP网络路由到目标中拓扑结构到最近的一台主机上。网络寻址一般有三种方法,单玻寻址,多播寻址和任博寻址等方法,单播顾名思义就是网络节点一对一的,每个目的地址对应一个单独的接收节点。多播是网络地址和网络节点是一对多的关系。每一个目的地址对应一群接收可复制消息的节点。请求发出方的数据报文会被发送到该地址对应的全部主机上。组播寻址也可以看做是多播寻址的一种。任播也是网络节点一对多的关系,每一个目的地址对应一群接收节点,但消息发送给拓扑结构上的最近节点。主要是通过不同的节点同时使用BGP协议向外声明同样的目的的IP地址的方式来实现。
今天时间有限,就先分享这两个缓解的方法,想了解更多的缓解方法请期待明天的更新文章。在网络安全防护中,想法永远比办法多,但是有再多的想法还不如去实践,所有的问题也就在实践过程中迎刃而解了。
-->