什么是高防服務(wù)器?網(wǎng)盾高防服務(wù)器/高防ip/cdn原理
發(fā)布時(shí)間:2021-09-09 21:09
來(lái)源:
閱讀:0
作者:
欄目: 云產(chǎn)品
歡迎投稿:712375056
什么是高防服務(wù)器?顧名思義��,“高防服務(wù)器”就是能夠為企業(yè)抵御 DDoS/CC 攻擊的服務(wù)器���。在云計算時(shí)代�����,游戲…
?顧名思義��,“”就是能夠為企業(yè)抵御 DDoS/CC 攻擊的服務(wù)器����。在云計算時(shí)代���,游戲���、APP���、金融���、電商等有需求的業(yè)務(wù)可以通過(guò)接入DDoS高防服務(wù)來(lái)獲得這種高防的能力���。
高防服務(wù)器就是網(wǎng)盾����,網(wǎng)盾就是高防服務(wù)器����。高防服務(wù)器也叫“網(wǎng)盾服務(wù)器”我們先科普一下是什么是“網(wǎng)盾”����,百度也可以搜到,顧名思義,網(wǎng)盾其實(shí)就猶如網(wǎng)絡(luò )出口上加了類(lèi)似像盾牌一樣擁有很高的防御,也叫高防服務(wù)器,主要是指IDC領(lǐng)域的IDC機房或者線(xiàn)路有防御DDOS能力的服務(wù)器���。
主要是比普通服務(wù)器多了防御服務(wù),一般都是在機房出口架設了專(zhuān)門(mén)的硬件防火墻設備以及流量清洗牽引設備等,用來(lái)防御常見(jiàn)的CC攻擊,DDOS,SYN攻擊�����。就目前的標準衡量,高防服務(wù)器是指能獨立防御100G以上的服務(wù)器���。大部分IDC機房出口都沒(méi)有達到這個(gè)帶寬容量,或者沒(méi)有這個(gè)級別防御設備的,就稱(chēng)之為普通IDC機房了���。
網(wǎng)盾服務(wù)器屬于IDC的服務(wù)器產(chǎn)品的一種,根據各個(gè)IDC機房的環(huán)境不同,有的提供有硬防,有的使用軟防��。簡(jiǎn)單來(lái)說(shuō),就是能夠幫助網(wǎng)站拒絕服務(wù)攻擊,并且定時(shí)掃描現有的網(wǎng)絡(luò )主節點(diǎn),查找可能存在的安全漏洞的服務(wù)器類(lèi)型,包括WAF(Web Application Firewall)防御,都可定義為網(wǎng)盾高防服務(wù)器��。
目前����,常見(jiàn)的DDOS攻擊就是分布式拒絕服務(wù)攻擊(全稱(chēng):Distributed denial of service attack),也叫做洪水攻擊,所謂洪水,則是來(lái)勢洶涌,連綿不絕�����。作為主要流行的網(wǎng)絡(luò )攻擊手段,其主要思路是使攻擊者采用分布式合理服務(wù)請求使目標資源��、網(wǎng)絡(luò )帶寬耗盡,導致目標無(wú)法提供正常服務(wù)請求�。也就是說(shuō)DDoS攻擊這段時(shí)間,增大了異常訪(fǎng)問(wèn)量,使目標崩潰或癱瘓�。舉一個(gè)很形象的例子,比如雙十一期間,由于訪(fǎng)問(wèn)人數過(guò)多,淘寶網(wǎng)站癱瘓的樣子�����。
另外CC(ChallengeCollapsar,挑戰黑洞)攻擊是DDoS攻擊的一種類(lèi)型,其原理是使用代理服務(wù)器向受害服務(wù)器發(fā)送大量貌似合法的請求����。CC攻擊是攻擊者控制某些主機不停地發(fā)大量數據包給對方服務(wù)器,使對方服務(wù)器資源耗盡,造成服務(wù)器資源的浪費,并且CPU利用率長(cháng)時(shí)間處于100%,永遠都有處理不完的連接,網(wǎng)絡(luò )異常擁塞,直到宕機崩潰��。
有人的地方就有江湖,互聯(lián)網(wǎng)上也是如此�����。
網(wǎng)絡(luò )不斷發(fā)達的今天,對于企業(yè)而言,信息是否安全可能會(huì )牽涉到企業(yè)存亡,信息安全的重要性更加凸顯�����。
在日益復雜的網(wǎng)絡(luò )環(huán)境里,要保證WEB服務(wù)器全天候運行無(wú)障礙,毋庸置疑的要選擇抗DDoS攻擊的網(wǎng)盾服務(wù)器,這是企業(yè)互聯(lián)網(wǎng)安全的重要保障措施之一����。
市面上的“高防服務(wù)器”�、“高防服務(wù)”有很多����,但資源是無(wú)底洞���,選擇高防服務(wù)可以從安全性�����、易用性���、成本效益等方面來(lái)考量����。其中安全性是核心���,不能緩解攻擊的��,再便宜也是白扔錢(qián)����。安全性的決定因素:
服務(wù)器和帶寬資源�。主流云服務(wù)商的高峰服務(wù)都可以防護 SYN Flood���、ACK Flood���、ICMP Flood��、UDP Flood��、DNS Flood��、HTTP Flood等常見(jiàn)的攻擊類(lèi)型�����,以及針對應用層的 CC 攻擊��,但最終能否防護成功還要看廠(chǎng)商可防護帶寬的大小����。比如易探云DDoS高防服務(wù)�,提供100G高防��,單 IP 防護能力最大可達數百 G�,就是認為超大帶寬才能從容應對超大流量攻擊���。
流量分析能力���。唯有基于海量數據分析��,進(jìn)而對合法用戶(hù)進(jìn)行模型化����,才能對 DDoS 流量進(jìn)行精確清洗��。借助網(wǎng)易云易盾 DDoS 高防服務(wù)����,用戶(hù)可以通過(guò)配置高防 IP�����,將攻擊流量引流到高防 IP�����,抵御超大流量 DDoS 攻擊��。
彈性擴展能力����。DDoS 流量巨大���,防護系統支持彈性擴展���,采用基礎預付費+彈性后付費��,既可以在避免帶寬浪費的前提下進(jìn)行有效防護��,又可以節約成本���。
網(wǎng)盾高防服務(wù)器
網(wǎng)盾高防服務(wù)器主要就是靠資源硬扛的防御,就像有人要打你,你去買(mǎi)幾把刀再穿個(gè)盔甲舉個(gè)盾牌去防身���。在實(shí)際操作中我們需要做的就是:一是在IDC機房出口擴容帶寬,比如由100G擴容到600G甚至更高,當然這些需要配置高端的路由器設備,還有網(wǎng)絡(luò )運營(yíng)商的線(xiàn)路資源作為支撐���。二是機房出口部署的防火墻設備需要逐步升級,就猶如在服務(wù)器前面加了個(gè)盾牌��?��!熬W(wǎng)盾服務(wù)器”就是滿(mǎn)足這些硬性要求的基礎上應運而生��。
如果一旦攻擊超過(guò)機房的出口,比如機房出口就200G,迎來(lái)一個(gè)高達600G流量的攻擊該怎么處理呢?這個(gè)時(shí)候就需要運營(yíng)商在機房出口的上層配合流量牽引技術(shù),把正常流量和攻擊流量區分開(kāi),并把帶有攻擊的流量牽引到機房有防御能力的防火墻設備上去,而不是選擇自身去硬扛��。就好比你自身防護裝備齊全后,在敵人必經(jīng)之路設置了很多路障或者暗器,先消耗他一部分精力,就好比作為虛偽目標牽扯住了部分攻擊流量過(guò)來(lái)�。
網(wǎng)盾服務(wù)器目前使用的是單節點(diǎn)的高防,算是比較傳統的防御模式��。主要是通過(guò)架設防火墻設備和擴大帶寬出口去抵抗清洗攻擊流量,需要有充裕的資源作為支撐,說(shuō)白了防御攻擊的能力主要取決于機房的條件�。
網(wǎng)盾
網(wǎng)盾高防御IP是利用各種區域內具有大帶寬和保護能力的DDoS多個(gè)保護節點(diǎn)對源服務(wù)器的數據轉發(fā)實(shí)現DDoS保護���。單節點(diǎn)DDoS保護能力一般在300-1000Gbps之間�����。
網(wǎng)盾高防IP其實(shí)也像網(wǎng)盾高防服務(wù)器一樣,理論上一個(gè)客戶(hù)的網(wǎng)站或者應用遭受攻擊的時(shí)候,將網(wǎng)站遷移到高防服務(wù)器不就可以了嗎?但是很多時(shí)候,幸福(攻擊)來(lái)的太突然,就像有人急著(zhù)叫囂要打你,你以為他只是聲音大,結果馬上就動(dòng)手了����。如果你的網(wǎng)站之前在普通機房,又或者遭受的攻擊超過(guò)了你當前機房的防御閾值,根本沒(méi)有機會(huì )和條件及時(shí)遷移到高防服務(wù)器上,那一瞬間不就很尷尬,眼睜睜的挨打并且毫無(wú)反擊之力��。連給你去買(mǎi)武器買(mǎi)盔甲的機會(huì )都沒(méi)有,這種情況下怎么辦呢?這時(shí)候高防IP就可以來(lái)救場(chǎng)了��。立即購買(mǎi)使用高防IP,通過(guò)高防IP加端口轉發(fā)并且是輪詢(xún)的的方式,將攻擊流量都引流到高防IP,讓攻擊者一直都去打舉著(zhù)“盾牌”的高防IP,而找不到源站在哪兒���。此時(shí),源站服務(wù)器依然可以穩定可靠的響應服務(wù)請求�����。就像有人打你,你找個(gè)大哥到前面擋著(zhù),他去應戰,你去后面躲著(zhù)偷著(zhù)樂(lè )(聽(tīng)起來(lái)挺不厚道…反正是這個(gè)理兒)�����。
使用高防IP的好處就在于,用戶(hù)不需要重新部署環(huán)境,轉移數據,只需要快速做下轉發(fā)設置��。理論上任何服務(wù)器都可以使用高防IP來(lái)防護DDOS攻擊,就好比買(mǎi)了一個(gè)盾牌可以拿來(lái)馬上防身,既方便有快捷���。
網(wǎng)盾
高防cdn/' target='_blank'>CDN就是帶防御的內容分流網(wǎng)絡(luò )(Content Delivery Network),原理就是構建在網(wǎng)絡(luò )之上的內容分發(fā)網(wǎng)絡(luò ),依靠部署在各地的邊緣服務(wù)器,通過(guò)中心平臺的負載均衡���、內容分發(fā)��、調度等功能模塊�����。使用戶(hù)就近獲取所需內容,而不用直接訪(fǎng)問(wèn)網(wǎng)站源服務(wù)器���。使用高防CDN,不僅能解決不同地區的網(wǎng)絡(luò )訪(fǎng)問(wèn)速度,還能有效減少因并發(fā)量太大給服務(wù)器帶來(lái)的壓力,可以隱藏網(wǎng)站源IP��。其原理簡(jiǎn)單的說(shuō)就是架設多個(gè)高防分發(fā)節點(diǎn),任意一個(gè)CDN節點(diǎn)被攻擊的時(shí)候各個(gè)節點(diǎn)共同承受����。不會(huì )因為一個(gè)節點(diǎn)被攻擊或者被打死而導致網(wǎng)站無(wú)法訪(fǎng)問(wèn)����。依然可以比喻為有人要打你,你去喊一大幫強壯的兄弟部署等待在對手過(guò)來(lái)的路上去招架他們,打倒一個(gè)后面還有若干個(gè)候著(zhù)��。
高防CDN防御方式是通過(guò)使用足夠的CDN節點(diǎn)來(lái)實(shí)現DDoS保護,一般需要至少超過(guò)10以上的CDN節點(diǎn),而單個(gè)CDN節點(diǎn)具有20到100 Gbps之間的DDoS保護能力才能足夠有效的抵御攻擊����。
一般CDN都是采取域名CNAME解析多點(diǎn)的方式進(jìn)行處理的���。
三類(lèi)網(wǎng)盾高防產(chǎn)品的差別和總結:
網(wǎng)盾高防IP使用最方便,即買(mǎi)即用,WEB和游戲都合適��。高防IP是無(wú)法像普通服務(wù)器那樣有便捷的桌面操作或者遠程登陸,只有一個(gè)控制面板作為設置界面��。當你的源服務(wù)器遭到攻擊,而又不愿轉移數據信息或者更換服務(wù)器的時(shí)候,高防IP的牽引帶系統會(huì )對總流量開(kāi)展智能化分辨過(guò)慮,確保正常的流量可以對服務(wù)器發(fā)出請求并獲得正常的解決�。高防IP適用于應用方面的防護,如游戲業(yè)務(wù),各種應用業(yè)務(wù)系統等�。
高防CDN是多點(diǎn)防御,還有加速功能,適合WEB方面���。相比而言,高防CDN 防御DDoS能力是要弱于高防IP的,但高防CDN 網(wǎng)站加速能力優(yōu)越,適用于對網(wǎng)站加速和DDoS防御要求不太高的用戶(hù),如大型門(mén)戶(hù)網(wǎng)站(比如商城,首頁(yè)圖片過(guò)多)和其他業(yè)務(wù)�。
網(wǎng)盾高防服務(wù)器屬于單機防御,拿機房服務(wù)器硬扛,屬于單打獨斗的解決方案�����。需要將服務(wù)器放置在高防機房中�����。”物以類(lèi)聚,人以群分”,高防機房中的服務(wù)器,大部分來(lái)自于易受攻擊的行業(yè),容易受其他被攻擊的服務(wù)器的影響,防御成本較高��。理論上來(lái)說(shuō),防御成本永遠比攻擊成本高,對流量攻擊的防御比較有限,受到超過(guò)防御的攻擊時(shí)只能做黑洞牽引,需要運營(yíng)商上層調度配合,而且攻擊過(guò)大時(shí)影響網(wǎng)絡(luò )出口擁塞,和網(wǎng)絡(luò )穩定性,不能靈活部署����。
