安全解決方案

途隆云安全,多層防護+云端大數據。集途隆科技多年來安全技術研究積累的成果, 同時結合途隆云計算平臺強大的數據分析能力,為客戶提供一整套安全產品和服務。

為什么云防系統在面對大流量攻擊時會失效?

來源: ???????? 2017-12-05

某網絡游戲上線公測前10分鐘,主力機房遭遇DDoS攻擊,帶寬瞬間被占滿,上游路由節點被打癱,游戲發行商被迫宣告停止公測。

某珠寶在線銷售網站遭遇泛洪攻擊,導致該網站無法提供正常服務。期間,安全研究員曾嘗試阻斷網絡攻擊,但這一僵尸網絡進一步提升了垃圾請求的發送頻率,將25000個攝像頭組成僵尸網絡發起DDoS攻擊,發送超過50000次垃圾HTTP請求,成為已知最大的CCTV僵尸網絡。

…………

近年來,DDoS攻擊因其易攻難守的“獨特優勢”出鏡率頗高,一個接一個的歷史記錄被殘酷地刷新,最大的DDoS流量可以達到T級以上。

在DDoS的世界里,舊的攻擊方法還沒有退出歷史舞臺,新的攻擊手段已經蜂擁而至,各種反射型攻擊大有四兩撥千斤的味道。于是,夾雜著UDP Flood、CC、DNS和NTP反射的混合攻擊四處肆虐,大有大軍過境寸草不生之勢。

很多安全廠商的云防護體系就是在被虐中成長,從攻擊中學習,十余年的攻防積累才形成現在的保障能力。

那么,為什么云防系統在面對大流量攻擊時會失效呢?首先,我們來了解一下DDoS的攻擊形式。

DDoS攻擊主要分為帶寬消耗型和資源消耗型。帶寬消耗型通過 UDP 洪水攻擊、ICMP 洪水攻擊以及其他攻擊類型;資源消耗型包含 CC攻擊、SYN 洪水攻擊、僵尸網絡攻擊等。不同的攻擊類型,應對措施有所不同。

云防護時代,以阿里、百度、騰訊、360為首的頂級互聯網廠商雖然都有各自的解決方案,而CDN廠商如網宿也在建設自有云防護網絡,但都以集群防護技術為主。

隨著攻防對抗的升級,黑客組織已經發現了云防體系的規律,并意識到集群防護的弱點,他們放棄對單純域名的攻擊,衍變出針對單點IP攻擊的輪詢攻擊。比如云防系統在前端采用域名訪問的服務器集群,后端有自己的服務器,每臺服務器都有自己的IP地址。那么,黑客只需對每個服務器的每個IP,打超大規模如幾百G的流量,通過輪詢的方式,將一個服務器的IP用流量封死后,再封死下一個,直至大流量攻擊將所有服務器全部封死,云防體系的中樞系統就完全失效了。就像《三體》里描繪的三體人用智子封死人類的科技一樣,云防體系在這樣的攻擊下,瞬間瓦解。

說到底,DDoS是一場關乎資源的戰爭,必須加強單點防御能力才能有效抗擊攻擊。然而,在攻防資源極其不對等的今天,能夠提供高防IP能力的安全廠商并不多,一旦大規模流量攻擊事件集中爆發,很難提供有效防御。

面對來勢迅猛的大流量攻擊,云防系統自然不能坐以待斃。目前,業界針對大流量攻擊普遍采用一種流量壓制的技術,即黑洞技術。簡單來講就是將目的IP的所有流量(包括攻擊流量)投入黑洞路由中全部丟棄,以保全運營商的基礎網絡和其他的客戶業務。

黑洞的執行可以最大程度上保證其他用戶的業務正常使用,但這種以 “犧牲”一定的用戶應用來緩解攻擊壓力的做法等同于殺雞取卵。而途隆云自身2.3T的單點抗DDoS攻擊能力,6.5T總防御能力,可在攻擊源對攻擊流量進行清洗,并將正常的流量回注給原有網絡,充分保證客戶業務的連續性。

具體來說,途隆云安全系統具備完整的三層深度防御能力。第一層途隆態勢感知系統,內置500萬肉雞IP地址,在攻擊發起尹始就能識別并直接攔截,就像空對空導彈,在還沒有接觸目標便被攔截,有效地保護了客戶的領空。第二層BGP網絡單點抗D系統,內置自主研發的數百臺流量清洗集群,當流量蜂擁而至時,火力全開,能夠獨家清洗2.3T攻擊流量,無需黑洞,而且BGP網絡保證了客戶的回源質量,最大程度地保護了客戶的活躍用戶。就像地對空導彈,當目標透到第一層防御進入到家門上空時,單點抗D可以進行二次打擊。第三層是精度清洗系統。當一些應用層攻擊發生時,精度清洗系統自動啟動,該系統內置上萬條經過十年攻防驗證的規則體系,能夠將透過的定制化攻擊攔在門口,這更像訓練有素的地面部隊,當敵人突破封鎖線后,最后利用陣地戰的方式將敵人消滅。

對于采用途隆云安全服務的用戶來說,途隆云可為每臺服務器定制安全策略,無論用戶使用服務器托管、租用、還是利用IP轉發,途隆云安全都能為用戶提供國內最強的單點網絡空間威脅防御能力。截至目前,途隆云憑借自身在云安全上的強大技術優勢和資源優勢,已經為上萬家政企用戶提供了專業的抗DDoS防護、CC防護和安全DNS解析服務。

体彩排列三万能四码