如何有效阻止CC攻击

来源:贝尔盾      时间:2019-11-05
  • 1264
  • 36
  • 148

 
传统的防御方法有限,成本过高
自Memached爆发以来,众多安全厂商纷纷给出了防御方案,防御的攻击流量峰值不断被刷新,人心惶惶的同时,安全厂商的作用似乎逐渐突显。然而,这对企业来说意味什么呢?意味着不可预知的更高攻击峰值,无法预测的防御效果,以及不可控的高额防御成本!

为什么这么说?让我们先看看传统的DDoS防御方案是怎么防御DDoS攻击的。目前比较普遍的方案主要是两种:高防机房和IP跳变方案。

首先来说高防机房,这个大家都知道,最为传统的DDoS防御方案,通过在机房部署DDoS防护设备,对访问服务器的流量进行清洗来实现防御。无论现在市场上的高防机房有什么样的优化与改进,这种方案总摆脱不了几个致命的缺陷:1、通过特征规则过滤或行为分析来识别威胁,属于事后的解决方法,永远无法解决不断变化的攻击手段;2、通过大带宽来清洗,带宽资源池必须大于攻击带宽,因此对于超大流量攻击略显乏力,同时企业的防护成本完全不可控。

再来说IP跳变的方案,这种方案相比较高防机房进阶了不少,通过分布式防护节点分流,可以灵活调度,智能防御。可是缺点是什么呢?1、资源是有限的,企业的防护能力受限于购买的防护节点数,也就是说超过所购买的防护节点防御能力的攻击,是防不住的,所以企业可能面临高额的防护费用,以及甚至不知道应该购买多少才能抵御未知的威胁的问题;2、必须通过调度中心进行调度,这就给攻击者提供了明确的攻击点,无论安全厂商如何宣称调度中心的安全性,与众多的安全事件一样,这都是无法预知的风险点。

颠覆式创新解决方案
我们一直强调的是采用智能灵活的,类似太极以柔克刚的手段去化解,而不是粗暴对抗影响业务,同时还要能够控制住成本。所以我们的太极盾针对DDOS防护,可以做到防护流量无上限,无论多大的攻击流量都可以防御。这是因为太极盾采用的是与其他厂商完全不同的理念和架构,有创新的技术可以保障,所以太极盾从不关心DDOS的攻击流量有多大,也不按攻击流量收费,成本自然也就可控了。

在互联网和云之间构建一个弹性安全区域(Elastic Security Zone, ESZ),打破安全防护对特征规则的依赖,将安全威胁完全屏蔽在ESZ 之外。这种方案可以完全可以不关心攻击流量大小,彻底防住任何DDoS/CC攻击。具体的实现方法包括:

1、通过可弹性扩缩的分布式云防护节点,在用户与防护节点之间建立加密的 IP 隧道,准确识别合法报文,阻止非法流量进入,彻底防御 CC 攻击等资源消耗型攻击。

2、采用欺骗技术,隐藏服务器真实IP,混淆虚拟防护IP,让黑客攻无可攻。

3、智能识别并屏蔽恶意泄露 IP 终端,使攻击行为始终处于自耗尽状态。

3、当发生超大流量攻击时,可根据影响范围,迅速将业务分摊到未受影响的防护节点。当受影响防护节点修复后,会自动上线并将业务流量导入。这类似于人类的细胞再生修复原理,当其中的部分细胞受到病毒攻击坏死时,健康细胞会自动接管所有工作。同时,细胞本身具备再生修复的能力,再生细胞修 复后可迅速重新开始工作。

这是一种全新的DDoS防御思路,而且已经经过实践得到了验证。而且,这种不依赖规则,事前防御的思路,可以向除DDoS外的其他安全领域扩展,打破现有传统安全思维桎梏,带给企业一个真正干净的网络。
 

本文由【贝尔盾服务器】转载编辑,内容仅供取名参考学习,如涉及侵权,请联系贝尔云服务器客服删除!

本文链接: http://www.szbelle.com/news/147.html (转载请保留)