使用高防CDN服务防御攻击

使用高防CDN服务防御攻击

常见的DDoS攻击类

DNS洪水攻击UDP放大攻击(第3层和第4层 HTTP Flood(第7层)

DNS洪水攻击

通过破坏DNS解析,DNS泛洪攻击会使网站,API或Web应用程序性能降低或完全不可用。

防御DNS洪水攻击
DNS洪水攻击

UDP放大攻击(第3层和第4层)

攻击者利用开放DNS或NTP解析器的功能来淹没具有放大的请求流量的目标服务器或网络,其中有效载荷大小大于原始请求的大小。

防御UDP放大攻击
防御UDP放大攻击

HTTP Flood(第7层)

HTTP泛洪攻击会从多个源生成大量HTTP,GET或POST请求,这些请求以应用程序层为目标,导致服务降级或不可用,这就是我们常说的CC请求攻击。

防御http flood攻击
防御http flood攻击

高防CDN攻击防御手段

分层安全防御方法

分层安全防御方法将多个DDoS缓解功能整合到一个服务中。它可以防止恶意攻击流量造成的中断,同时允许正常用户请求的流量,保持网站,应用程序和API的高可用性和高性能。

CDN分层安全防御
CDN分层安全防御

3层和4层攻击防御

大多数攻击都针对通信系统的传输层和网络层。这些层表示为OSI模型的第3层和第4层。网络堆栈的所谓“传输”层指定网络上的两个主机彼此通信的协议(例如,TCP或UDP)。针对第3层和第4层的攻击旨在使网络接口充满攻击流量,以淹没其资源并拒绝其响应合法流量的能力。更具体地说,这种性质的攻击旨在使网络交换机的容量饱和,或者压倒服务器的网卡或其CPU处理攻击流量的能力。

我们借助Cloudflare DDoS保护,所有直接攻击您的服务器基础架构的攻击流量将自动路由到Cloudflare的全球Anycast数据中心网络。一旦攻击流量发生变化,我们就能够充分利用我们网络的重要全球容量以及服务器基础架构上的机架,以吸收网络边缘的大量攻击流量。这意味着Cloudflare能够防止来自传统3/4层攻击的单个攻击流量数据包到达受安全防御保护的站点。

DNS放大攻击

DNS放大攻击是DRDoS的一种形式,它正在崛起,并已成为3/4层攻击的最大来源。Cloudflare通常可以缓解超过100Gpbs的攻击,并且最近保护客户免受超过300Gbps的攻击 – 纽约时报认为这是“ 互联网历史上最大的公开宣布的DDoS攻击

在DNS反射攻击中,攻击者向大量开放DNS解析器发送请求大型DNS区域文件(源IP地址被欺骗为目标受害者的IP地址)。解析器然后响应该请求,将大DNS区域应答发送到预期受害者的IP地址。攻击者的请求本身只是响应大小的一小部分,允许攻击者将攻击放大到他们自己控制的带宽资源大小的许多倍。

安全防御CDN的“Anycast”网络专门用于阻止大规模的3/4层攻击。通过使用Anycast,我们可以从180个全球数据中心宣布相同的IP地址。网络本身负载平衡对最近设施的请求。在正常情况下,这有助于我们确保您网站的访问者自动路由到我们网络上最近的数据中心,以确保最佳性能。当发生攻击时,Anycast可以有效地分散和稀释整个数据中心网络中的攻击流量。由于每个数据中心都为任何Cloudflare客户宣布相同的IP地址,因此无法将流量定向到任何一个位置。它不是多对一的攻击,而是成为多对多,网络上没有任何一点就是单点故障。

第7层攻击

新一类攻击的目标是OSI模型的第7层,即“应用程序”层。这些攻击侧重于Web应用程序瓶颈的特定特征。例如,所谓的慢速读取攻击在多个连接上缓慢地发送数据包。因为Apache为每个连接打开一个新线程,并且由于只要有流量被发送就保持连接,攻击者可以通过相对快速地耗尽其线程池来淹没Web服务器。

Cloudflare针对这些攻击中的许多攻击提供了保护,在现实世界中,我们的DDoS保护通常可以将HTTP攻击流量减少90%。对于大多数攻击,对于我们的大多数客户来说,这足以使他们保持在线状态。然而,通过传统保护获得的10%的流量对于资源有限或面临非常大的攻击的客户来说仍然是压倒性的。在这种情况下,Cloudflare提供称为“我受攻击 I’m Under Attack ”模式(IUAM,5秒盾模式)的DDoS缓解设置。

IUAM是您在受到攻击时可以为您的站点设置的安全级别。当IUAM打开时,Cloudflare将添加额外的保护层,以阻止恶意HTTP流量传递到您的服务器。虽然在后台执行了一些额外的检查,但在检查完成时,会向您网站的访问者显示插页式页面5秒钟。将其视为挑战,其中测试是自动的,访客永远不需要填写验证码。

5秒盾防御方式主要针对初级用户,因为5秒盾验证比较影响用户使用体验,会拦截蜘蛛搜索,还会对程序接口调用产生影响。

我们这里有更高级别的安全防御服务,在用户的服务应用遭到7层攻击,大量CC攻击或慢速攻击时,我们利用安全机制策略,智能识别恶意攻击流量,不需要开启5秒盾,即可拦截大量CC攻击,给网站用户更好的访问体验。

关于作者

cdnya administrator

安全防御技术员

目前为止有一条评论

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据