DDoS（分布式拒绝服务）攻击是无解的吗？

阿凡达提问于 2018-11-21 17:28

• 达芬奇密码2018-11-21 17:31

  DDoS的防护系统本质上是一个基于资源较量和规则过滤的智能化系统，主要的防御手段和策略包括：

  a）资源隔离

  资源隔离可以看作是用户服务的一堵防护盾，这套防护系统拥有无比强大的数据和流量处理能力，为用户过滤异常的流量和请求。如：针对Syn Flood，防护盾会响应Syn Cookie或Syn Reset认证，通过对数据源的认证，过滤伪造源数据包或发功攻击的攻击，保护服务端不受恶意连接的侵蚀。资源隔离系统主要针对ISO模型的第三层和第四层进行防护。资源隔离示意图如下：

  

  <figure><figcaption>资源隔离示意图</figcaption></figure>

  b）用户规则

  从服务的角度来说DDoS防护本质上是一场以用户为主体依赖抗D防护系统与黑客进行较量的战争，在整个数据对抗的过程中服务提供者往往具有绝对的主动权，用户可以基于抗D系统特定的规则，如：流量类型、请求频率、数据包特征、正常业务之间的延时间隔等。基于这些规则用户可以在满足正常服务本身的前提下更好地对抗七层类的DDoS，并减少服务端的资源开销。详细示意图如下：

  

  <figure><figcaption>用户规则清洗</figcaption></figure>

  c）大数据智能分析

  黑客为了构造大量的数据流，往往需要通过特定的工具来构造请求数据，这些数据包不具有正常用户的一些行为和特征。为了对抗这种攻击，可以基于对海量数据进行分析，进而对合法用户进行模型化，并利用这些指纹特征，如：Http模型特征、数据来源、请求源等，有效地对请求源进行白名单过滤，从而实现对DDoS流量的精确清洗。

  

  <figure><figcaption>指纹过滤清洗</figcaption></figure>

  d）资源对抗

  资源对抗也叫“死扛”，即通过大量服务器和带宽资源的堆砌达到从容应对DDoS流量的效果。

  延伸阅读：

  理解DDoS防护本质：基于资源较量和规则过滤的智能化系统

  DDoS防护之TCP防护

  
  

  网易云为您提供DDoS高防服务，欢迎点击免费试用。

  <strike></strike>