我們先科普一下是什麼是高防。「高防」,顧名思義,就猶如網絡上加了類似像盾牌一樣很高的防禦,主要是指IDC領域的IDC機房或者線路有防禦DDOS能力。
高防伺服器主要是比普通伺服器多了防禦服務,一般都是在機房出口架設了專門的硬體防火牆設備以及流量清洗牽引設備等,用來防禦常見的CC攻擊,DDOS,SYN攻擊。就目前的標準衡量,高防伺服器是指能獨立防禦100G以上的伺服器。大部分IDC機房出口都沒有達到這個帶寬容量,或者沒有這個級別防禦設備的,就稱之為普通IDC機房了。
高防伺服器屬於IDC的伺服器產品的一種,根據各個IDC機房的環境不同,有的提供有硬防,有的使用軟防。簡單來說,就是能夠幫助網站拒絕服務攻擊,並且定時掃描現有的網絡主節點,查找可能存在的安全漏洞的伺服器類型,包括WAF(Web Application Firewall)防禦,都可定義為高防伺服器。
目前常見的DDOS攻擊就是分布式拒絕服務攻擊(全稱:Distributed denial of service attack),也叫做洪水攻擊,所謂洪水,則是來勢洶湧,連綿不絕。作為主要流行的網絡攻擊手段,其主要思路是使攻擊者採用分布式合理服務請求使目標資源、網絡帶寬耗盡,導致目標無法提供正常服務請求。也就是說DDoS攻擊這段時間,增大了異常訪問量,使目標崩潰或癱瘓。舉一個很形象的例子,比如雙十一期間,由於訪問人數過多,淘寶網站癱瘓的樣子。
另外CC(ChallengeCollapsar,挑戰黑洞)攻擊是DDoS攻擊的一種類型,其原理是使用代理伺服器向受害伺服器發送大量貌似合法的請求。CC攻擊是攻擊者控制某些主機不停地發大量數據包給對方伺服器,使對方伺服器資源耗盡,造成伺服器資源的浪費,並且CPU利用率長時間處於100%,永遠都有處理不完的連接,網絡異常擁塞,直到宕機崩潰。
有人的地方就有江湖,網際網路上也是如此。
網絡不斷發達的今天,對於企業而言,信息是否安全可能會牽涉到企業存亡,信息安全的重要性更加凸顯。
在日益複雜的網絡環境裡,要保證WEB伺服器全天候運行無障礙,毋庸置疑的要選擇抗DDoS攻擊的網盾伺服器,這是企業網際網路安全的重要保障措施之一。
高防伺服器工作原理
高防伺服器主要就是靠資源硬扛的防禦,就像有人要打你,你去買幾把刀再穿個盔甲舉個盾牌去防身。在實際操作中我們需要做的就是:一是在IDC機房出口擴容帶寬,比如由100G擴容到600G甚至更高,當然這些需要配置高端的路由器設備,還有網絡運營商的線路資源作為支撐。二是機房出口部署的防火牆設備需要逐步升級,就猶如在伺服器前面加了個盾牌。「網盾伺服器」就是滿足這些硬性要求的基礎上應運而生。
如果一旦攻擊超過機房的出口,比如機房出口就200G,迎來一個高達600G流量的攻擊該怎麼處理呢?這個時候就需要運營商在機房出口的上層配合流量牽引技術,把正常流量和攻擊流量區分開,並把帶有攻擊的流量牽引到機房有防禦能力的防火牆設備上去,而不是選擇自身去硬扛。就好比你自身防護裝備齊全後,在敵人必經之路設置了很多路障或者暗器,先消耗他一部分精力,就好比作為虛偽目標牽扯住了部分攻擊流量過來。
網盾伺服器目前使用的是單節點的高防,算是比較傳統的防禦模式。主要是通過架設防火牆設備和擴大帶寬出口去抵抗清洗攻擊流量,需要有充裕的資源作為支撐,說白了防禦攻擊的能力主要取決於機房的條件。
高防IP工作原理
高防禦IP是利用各種區域內具有大帶寬和保護能力的DDoS多個保護節點對源伺服器的數據轉發實現DDoS保護。單節點DDoS保護能力一般在300-1000Gbps之間。
高防IP其實也像網盾高防伺服器一樣,理論上一個客戶的網站或者應用遭受攻擊的時候,將網站遷移到高防伺服器不就可以了嗎?但是很多時候,幸福(攻擊)來的太突然,就像有人急著叫囂要打你,你以為他只是聲音大,結果馬上就動手了。如果你的網站之前在普通機房,又或者遭受的攻擊超過了你當前機房的防禦閾值,根本沒有機會和條件及時遷移到高防伺服器上,那一瞬間不就很尷尬,眼睜睜的挨打並且毫無反擊之力。連給你去買武器買盔甲的機會都沒有,這種情況下怎麼辦呢?這時候高防IP就可以來救場了。立即購買使用高防IP,通過高防IP加埠轉發並且是輪詢的的方式,將攻擊流量都引流到高防IP,讓攻擊者一直都去打舉著「盾牌」的高防IP,而找不到源站在哪兒。此時,源站伺服器依然可以穩定可靠的響應服務請求。就像有人打你,你找個大哥到前面擋著,他去應戰,你去後面躲著偷著樂(聽起來挺不厚道...反正是這個理兒)。
使用高防IP的好處就在於,用戶不需要重新部署環境,轉移數據,只需要快速做下轉發設置。理論上任何伺服器都可以使用高防IP來防護DDOS攻擊,就好比買了一個盾牌可以拿來馬上防身,既方便有快捷。
高防CDN工作原理
高防CDN就是帶防禦的內容分流網絡(Content Delivery Network),原理就是構建在網絡之上的內容分發網絡,依靠部署在各地的邊緣伺服器,通過中心平臺的負載均衡、內容分發、調度等功能模塊。使用戶就近獲取所需內容,而不用直接訪問網站源伺服器。使用高防CDN,不僅能解決不同地區的網絡訪問速度,還能有效減少因並發量太大給伺服器帶來的壓力,可以隱藏網站源IP。其原理簡單的說就是架設多個高防分發節點,任意一個CDN節點被攻擊的時候各個節點共同承受。不會因為一個節點被攻擊或者被打死而導致網站無法訪問。依然可以比喻為有人要打你,你去喊一大幫強壯的兄弟部署等待在對手過來的路上去招架他們,打倒一個後面還有若干個候著。
高防CDN防禦方式是通過使用足夠的CDN節點來實現DDoS保護,一般需要至少超過10以上的CDN節點,而單個CDN節點具有20到100 Gbps之間的DDoS保護能力才能足夠有效的抵禦攻擊。
一般CDN都是採取域名CNAME解析多點的方式進行處理的。
三類高防產品的差別和總結
高防IP使用最方便,即買即用,WEB和遊戲都合適。高防IP是無法像普通伺服器那樣有便捷的桌面操作或者遠程登陸,只有一個控制面板作為設置界面。當你的源伺服器遭到攻擊,而又不願轉移數據信息或者更換伺服器的時候,高防IP的牽引帶系統會對總流量開展智能化分辨過慮,確保正常的流量可以對伺服器發出請求並獲得正常的解決。高防IP適用於應用方面的防護,如遊戲業務,各種應用業務系統等。
高防CDN是多點防禦,還有加速功能,適合WEB方面。相比而言,高防CDN 防禦DDoS能力是要弱於高防IP的,但高防CDN 網站加速能力優越,適用於對網站加速和DDoS防禦要求不太高的用戶,如大型門戶網站(比如商城,首頁圖片過多)和其他業務。
高防伺服器屬於單機防禦,拿機房伺服器硬扛,屬於單打獨鬥的解決方案。需要將伺服器放置在高防機房中。"物以類聚,人以群分",高防機房中的伺服器,大部分來自於易受攻擊的行業,容易受其他被攻擊的伺服器的影響,防禦成本較高。理論上來說,防禦成本永遠比攻擊成本高,對流量攻擊的防禦比較有限,受到超過防禦的攻擊時只能做黑洞牽引,需要運營商上層調度配合,而且攻擊過大時影響網絡出口擁塞,和網絡穩定性,不能靈活部署。
如何選擇適合自己的高防產品
企業和個人在選擇高防網盾伺服器產品的時候,一定要考慮防禦是否合適、伺服器的穩定性、伺服器配置好不好,最重要的是是否是正規的IDC公司,要考慮到資質齊全,經營的年限,以及服務保障水平口碑上。我們對於高防伺服器產品的最大期望就是它的安全性和穩定性,高防伺服器本身就對安全防禦的要求很嚴格,所以它有一些硬性條件,比如需要正規機房作為最基礎的環境,而且機房的軟體和硬體都要求非常的先進。
一,選擇合適的防禦
選擇伺服器要根據自己的成本和日常被攻擊的情況,還有機型配置,結合起來考慮,最好是選擇以後可以彈性升級防禦的機房,這樣如果最初選擇的防禦不夠用,後期可以申請升級防禦,節省了不少的麻煩。
二,伺服器的穩定性
要保證7*24小時不停的運作,保證所有網站正常運行,安全問題、硬體防禦、軟體防禦、抵制惡意黑客攻擊。
網盾科技(wangdun.cn)提供多個國家地區的高防伺服器,服務水平和防禦能力都屬於優秀水準。網盾全網總防禦能力8T+,單節點高達2T+防護,節點遍布全國主要城市,覆蓋電信、聯通、移動和BGP等優質運營商線路。
遊戲類業務尤其是棋牌類的是DDoS最容易攻擊的地方,攻擊流量可達數百G,一旦遭受攻擊,可導致大批量用戶掉線、訪問延遲大等問題,極大影響遊戲體驗。並且像這類遊戲同行競爭激烈,攻擊會非常的多而且每次攻擊都不弱。這類DDoS的攻擊都可以用網盾伺服器進行有效的防禦。
還有就是電商也特別需要網盾伺服器。可以有效的避免同行競品對手的打擊,讓自己的網站更加的穩固。一些重大的場合或者是活動,如電商行業舉辦促銷活動,或政企網站在大型會議期間,都是黑客活躍的時候。所以,選擇網盾伺服器進行防禦,讓一切更順利平穩。
轉載請註明出處。