文档介绍:网站所在的服务器一旦遭遇 DDos攻击,那么自己的网站很有可能会处于 瘫痪状态,甚至会引起服务器所在的整个机房服务器受影响。任何需要通过网 络提供服务的客户, 不论是处于经济原因还是其他方面, 都希望有一套
ddos防护解决方案, 保护其基础业务系统(包括We b、DNS、M a i
l、交换机、路由器或是防火墙)免受 D D o S攻击的侵害,保证其业务系统运 行的连续性。政府机关、企事业单位、通讯媒体、金融行业、网游、互联网门 户企业,对ddos防护解决方案都有迫切的需求,市场发展潜力巨大。
技术介绍 I Technology Introduction
铱迅“云” D D o防护体系英文:丫 x l i n k C l o u d A n t i - D D o S
S y s t e m,简称:丫 x l i n k C l o u d A D S )是铱迅信息在结合了多年 D D o S防护实践和产品研发的基础上, 针对现有D D o S防护方式的缺陷, 提
出的全新D D o S防护体系(),在综合本地防护和云端防护 的优点的同时,通过端口监听的方式,对 TCP、U D P端口进行监听与转
发,有效的解决了传统云清洗不能解决的问题,也无需在云端加载任何证书, 数据安全性也得到了很好的保障。
结合运营商网络高覆盖率、高带宽的优势,通过在运营商上部署专业的电 信级抗DDoS设备,及时发现背景流量中各种类型的攻击流量,迅速对攻击流 量进行牵引或清洗,保证正常流量的通过。在运营商部署 DDoS防范策略,不
仅能够避免用户侧单点故障的发生,同时也能保证运营商的整体性能和可靠 性。
针对目前存在的风险和威胁,同时由于用户出口的带宽限制,如果只在出 口处部署防护设备反而不会起到有效的防护作用,而处于网站链路上行的网络 主干网节点作为网站访问的必经之路并且带宽足够大,我建议将整个网站防线 扩展到整个网络的主干网节点,而不是在用户的互联网出口处采取防御措施, 以此形成一个分布式的云防御体系,将攻击源直接屏蔽在主干网节点的核心网 络之外,从而可以更有效地提高网站的安全性,避免网站承受大量的攻击压 力,同时通过CDN和动态链路分配等技术手段对网站访问进行加速,实时地 根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合 信息将用户的请求重新导向到最快的服务节点上,以此来应对用户网站所可能 面临的突发大流量。
铱迅“云” ddos护体系具备:
1•云端DDoS清洗能力:云端1000G+的DDoS清洗能力,完美防御 SYN Flood、ACK Flood、ICMP Flood、UDP
Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC 攻击;
应用层CC防护:采用JS判断、鼠标移动人机识别、验证码等多种手段精 确区分恶意访问和真实访问者,
针对网站CC攻击均可有效防御;
HTTPS防御:支持对于HTTPS的SSL加密网站进行防护;
服务端、游戏防御:支持对于采用开启 TCP、UDP端口的服务端、游戏等 进行分布式防御;
以下对铱迅“云” DDfe®体系的两种部署方式进行说明。
全云端部署
近几年来,以铱迅通过云计算架构为代表的抗 DDoS解决方案领导业界:
铱迅将带宽、防御设备、服务器等防御资源分布式部署,统一管理,建设成专 业的抗DDoS云清洗系统。
实现的关键在于 DNS,用户需要预先将网站的 DNS记录的详细配置及 DNS解析权限交由铱迅云 ADS,由铱迅负责对访问请求进行解析,这样一来 铱迅抗DDoS云清洗便可利用DNS解析来对资源进行调度,从而可以指定具 体的资源来帮助防御。当某一网站遭受攻击,只需在铱迅抗 DDoS云清洗服务
服务提供的管理界面进行一些操作,即可将攻击流量引导至多个抗 DDoS节点
去进行清洗,而后将正常的访问请求筛选出来返回给网站进行处理。
整体技术方案如下:
DDoS云清洗节点,在各节点提供 DDoS 攻击防护。
所有访问通过DNS解析指向抗DDoS云清洗系统,经过防护节点检测 并清洗数据流中的攻击行为后,再
将合法的安全的访问数据送回原始网络。
抗DDoS云清洗系统除了提供防护功能外,还提供了云管理平台和自助 服务平台,来对各节点防护系统
进行流量监控与管理,同时为用户提供自助式的服务和在线帮助。
云管理平台和自助服务平台可以部署在各云节点处,进行资源同步,分 布式管理与提供服务。
云端+本地部署
用户本地增加一台铱迅抗 DDoS系统,对低于本地网络出口带宽的 DDoS 攻击进行防护,若攻击流量大于