我們先科普一下是什么是高防。“高防”,顧名思義,就猶如網絡上加了類似像盾牌一樣很高的防御,主要是指IDC領域的IDC機房或者線路有防御DDOS能力。
高防服務器主要是比普通服務器多了防御服務,一般都是在機房出口架設了專門的硬件防火墻設備以及流量清洗牽引設備等,用來防御常見的CC攻擊,DDOS,SYN攻擊。就目前的標準衡量,高防服務器是指能獨立防御100G以上的服務器。大部分IDC機房出口都沒有達到這個帶寬容量,或者沒有這個級別防御設備的,就稱之為普通IDC機房了。
高防服務器屬于IDC的服務器產品的一種,根據各個IDC機房的環(huán)境不同,有的提供有硬防,有的使用軟防。簡單來說,就是能夠幫助網站拒絕服務攻擊,并且定時掃描現有的網絡主節(jié)點,查找可能存在的安全漏洞的服務器類型,包括WAF(Web Application Firewall)防御,都可定義為高防服務器。
目前常見的DDOS攻擊就是分布式拒絕服務攻擊(全稱:Distributed denial of service attack),也叫做洪水攻擊,所謂洪水,則是來勢洶涌,連綿不絕。作為主要流行的網絡攻擊手段,其主要思路是使攻擊者采用分布式合理服務請求使目標資源、網絡帶寬耗盡,導致目標無法提供正常服務請求。也就是說DDoS攻擊這段時間,增大了異常訪問量,使目標崩潰或癱瘓。舉一個很形象的例子,比如雙十一期間,由于訪問人數過多,淘寶網站癱瘓的樣子。
另外CC(ChallengeCollapsar,挑戰(zhàn)黑洞)攻擊是DDoS攻擊的一種類型,其原理是使用代理服務器向受害服務器發(fā)送大量貌似合法的請求。CC攻擊是攻擊者控制某些主機不停地發(fā)大量數據包給對方服務器,使對方服務器資源耗盡,造成服務器資源的浪費,并且CPU利用率長時間處于100%,永遠都有處理不完的連接,網絡異常擁塞,直到宕機崩潰。
有人的地方就有江湖,互聯網上也是如此。
網絡不斷發(fā)達的今天,對于企業(yè)而言,信息是否安全可能會牽涉到企業(yè)存亡,信息安全的重要性更加凸顯。
在日益復雜的網絡環(huán)境里,要保證WEB服務器全天候運行無障礙,毋庸置疑的要選擇抗DDoS攻擊的網盾服務器,這是企業(yè)互聯網安全的重要保障措施之一。
高防服務器工作原理
高防服務器主要就是靠資源硬扛的防御,就像有人要打你,你去買幾把刀再穿個盔甲舉個盾牌去防身。在實際操作中我們需要做的就是:一是在IDC機房出口擴容帶寬 ,比如由100G擴容到600G甚至更高,當然這些需要配置高端的路由器設備,還有網絡運營商的線路資源作為支撐。二是機房出口部署的防火墻 設備需要逐步升級,就猶如在服務器前面加了個盾牌。“網盾服務器”就是滿足這些硬性要求的基礎上應運而生。
如果一旦攻擊超過機房的出口,比如機房出口就200G,迎來一個高達600G流量的攻擊該怎么處理呢?這個時候就需要運營商在機房出口的上層配合流量牽引技術,把正常流量和攻擊流量區(qū)分開,并把帶有攻擊的流量牽引到機房有防御能力的防火墻設備上去,而不是選擇自身去硬扛。就好比你自身防護裝備齊全后,在敵人必經之路設置了很多路障或者暗器,先消耗他一部分精力,就好比作為虛偽目標牽扯住了部分攻擊流量過來。
網盾服務器目前使用的是單節(jié)點的高防,算是比較傳統的防御模式。主要是通過架設防火墻設備和擴大帶寬出口去抵抗清洗攻擊流量,需要有充裕的資源作為支撐,說白了防御攻擊的能力主要取決于機房的條件。
高防IP工作原理
高防御IP是利用各種區(qū)域內具有大帶寬和保護能力的DDoS多個保護節(jié)點對源服務器的數據轉發(fā)實現DDoS保護。單節(jié)點DDoS保護能力一般在300-1000Gbps之間。
高防IP其實也像網盾高防服務器一樣,理論上一個客戶的網站或者應用遭受攻擊的時候,將網站遷移到高防服務器不就可以了嗎?但是很多時候,幸福(攻擊)來的太突然,就像有人急著叫囂要打你,你以為他只是聲音大,結果馬上就動手了。如果你的網站之前在普通機房,又或者遭受的攻擊超過了你當前機房的防御閾值,根本沒有機會和條件及時遷移到高防服務器上,那一瞬間不就很尷尬,眼睜睜的挨打并且毫無反擊之力。連給你去買武器買盔甲的機會都沒有,這種情況下怎么辦呢?這時候高防IP就可以來救場了。立即購買使用高防IP,通過高防IP加端口轉發(fā)并且是輪詢的的方式,將攻擊流量都引流到高防IP,讓攻擊者一直都去打舉著“盾牌”的高防IP,而找不到源站在哪兒。此時,源站服務器依然可以穩(wěn)定可靠的響應服務請求。就像有人打你,你找個大哥到前面擋著,他去應戰(zhàn),你去后面躲著偷著樂(聽起來挺不厚道...反正是這個理兒)。
使用高防IP的好處就在于,用戶不需要重新部署環(huán)境,轉移數據,只需要快速做下轉發(fā)設置。理論上任何服務器都可以使用高防IP來防護DDOS攻擊,就好比買了一個盾牌可以拿來馬上防身,既方便有快捷。
高防CDN工作原理
高防CDN就是帶防御的內容分流網絡(Content Delivery Network),原理就是構建在網絡之上的內容分發(fā)網絡,依靠部署在各地的邊緣服務器,通過中心平臺的負載均衡、內容分發(fā)、調度等功能模塊。使用戶就近獲取所需內容,而不用直接訪問網站源服務器。使用高防CDN,不僅能解決不同地區(qū)的網絡訪問速度,還能有效減少因并發(fā)量太大給服務器帶來的壓力,可以隱藏網站源IP。其原理簡單的說就是架設多個高防分發(fā)節(jié)點,任意一個CDN節(jié)點被攻擊的時候各個節(jié)點共同承受。不會因為一個節(jié)點被攻擊或者被打死而導致網站無法訪問。依然可以比喻為有人要打你,你去喊一大幫強壯的兄弟部署等待在對手過來的路上去招架他們,打倒一個后面還有若干個候著。
高防CDN防御方式是通過使用足夠的CDN節(jié)點來實現DDoS保護,一般需要至少超過10以上的CDN節(jié)點,而單個CDN節(jié)點具有20到100 Gbps之間的DDoS保護能力才能足夠有效的抵御攻擊。
一般CDN都是采取域名CNAME解析多點的方式進行處理的。
三類高防產品的差別和總結
高防IP使用最方便,即買即用,WEB和游戲都合適。高防IP是無法像普通服務器那樣有便捷的桌面操作或者遠程登陸,只有一個控制面板作為設置界面。當你的源服務器遭到攻擊,而又不愿轉移數據信息或者更換服務器的時候,高防IP的牽引帶系統會對總流量開展智能化分辨過慮,確保正常的流量可以對服務器發(fā)出請求并獲得正常的解決。高防IP適用于應用方面的防護,如游戲業(yè)務,各種應用業(yè)務系統等。
高防CDN是多點防御,還有加速功能,適合WEB方面。相比而言,高防CDN 防御DDoS能力是要弱于高防IP的,但高防CDN 網站加速能力優(yōu)越,適用于對網站加速和DDoS防御要求不太高的用戶,如大型門戶網站(比如商城,首頁圖片過多)和其他業(yè)務。
高防服務器屬于單機防御,拿機房服務器硬扛,屬于單打獨斗的解決方案。需要將服務器放置在高防機房中。"物以類聚,人以群分",高防機房中的服務器,大部分來自于易受攻擊的行業(yè),容易受其他被攻擊的服務器的影響,防御成本較高。理論上來說,防御成本永遠比攻擊成本高,對流量攻擊的防御比較有限,受到超過防御的攻擊時只能做黑洞牽引,需要運營商上層調度配合,而且攻擊過大時影響網絡出口擁塞,和網絡穩(wěn)定性,不能靈活部署。
如何選擇適合自己的高防產品
企業(yè)和個人在選擇高防網盾服務器產品的時候,一定要考慮防御是否合適、服務器的穩(wěn)定性、服務器配置好不好,最重要的是是否是正規(guī)的IDC公司,要考慮到資質齊全,經營的年限,以及服務保障水平口碑上。我們對于高防服務器產品的最大期望就是它的安全性和穩(wěn)定性,高防服務器本身就對安全防御的要求很嚴格,所以它有一些硬性條件,比如需要正規(guī)機房作為最基礎的環(huán)境,而且機房的軟件和硬件都要求非常的先進。
一,選擇合適的防御
選擇服務器要根據自己的成本和日常被攻擊的情況,還有機型配置,結合起來考慮,最好是選擇以后可以彈性升級防御的機房,這樣如果最初選擇的防御不夠用,后期可以申請升級防御,節(jié)省了不少的麻煩。
二,服務器的穩(wěn)定性
要保證7*24小時不停的運作,保證所有網站正常運行,安全問題、硬件防御、軟件防御、抵制惡意黑客攻擊。
網盾科技(wangdun.cn)提供多個國家地區(qū)的高防服務器,服務水平和防御能力都屬于優(yōu)秀水準。網盾全網總防御能力8T+,單節(jié)點高達2T+防護,節(jié)點遍布全國主要城市,覆蓋電信、聯通、移動和BGP等優(yōu)質運營商線路。
游戲類業(yè)務尤其是棋牌類的是DDoS最容易攻擊的地方,攻擊流量可達數百G,一旦遭受攻擊,可導致大批量用戶掉線、訪問延遲大等問題,極大影響游戲體驗。并且像這類游戲同行競爭激烈,攻擊會非常的多而且每次攻擊都不弱。這類DDoS的攻擊都可以用網盾服務器進行有效的防御。
還有就是電商也特別需要網盾服務器??梢杂行У谋苊馔懈偲穼κ值拇驌?,讓自己的網站更加的穩(wěn)固。一些重大的場合或者是活動,如電商行業(yè)舉辦促銷活動,或政企網站在大型會議期間,都是黑客活躍的時候。所以,選擇網盾服務器進行防御,讓一切更順利平穩(wěn)。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!