华纳云浅析香港高防服务器中的“七层流量清洗理念”

时间 : 2020-09-25 16:23:50
编辑 : 华纳云
阅读量 : 1485

使用过香港高防服务器的站长应该对“流量清洗”这一名词不会陌生,很多IDC服务商在香港高防服务器的影响文案上都会标注“DDoS 流量智能清洗这几个字眼。接下来华纳云小编帮大家整理了一些关于"流量清洗"的知识点,方便大家理解。

 

 

一、流量清洗的定义

通过技术手段识别恶意流量(非正常网络数据)并将其剔除阻断来路,保证信息系统不被DDoS攻击侵害的一种方法。

传统的恶意流量来源于攻击、扫描等,例如DDOS攻击、CSRF攻击、XSS攻击,或使用扫描引擎如APPScan对网站的漏洞尝试扫描。与之对应的有传统的抵御方式,如云平台上针对DDOS的防御,用WAF平台抵挡Web的漏洞扫描等等。

 

 

二、传统的流量清洗方案

 

 

传统清洗方案对于不同的攻击都有单独的防护模块,如针对CC攻击、DDOS攻击都部署特定的模块。这样的架构集中在了业务上,导致系统在计算、带宽资源消耗了后才能发挥防护作用。传统清洗方案存在如下弊端:

 

  • 每一个系统都需要部署和运维,不同运营人员之间沟通不畅可能导致前后防护对象的重叠,更有甚者前后规则的冲突可能引发系统故障

     

  • 模块之间缺乏协作,各自为战,可能出现攻击突破每一层防线,却无法问责的情况。

     

  • 数据消耗。每个模块全流量计算产生大量消耗,每层贴标签加入字段扩大了数据量,甚至可能产生数据修改,导致最后策略不准。

 

 

三、先进的七层流量清洗理念

 

针对如上问题,如今有了更有先进的流量清洗理念,下面重点介绍七层流量清洗理念。

 

1.快速接入,统一接入

 

传统接入需要了解应用架构,统一还是特殊的接入层、应用上是否有连接层,应用上采用何种协议等因素都会影响接入速率。特别是遇到紧急情况,例如当遭受爬虫攻击导致系统濒临崩溃时,部署测试需要大量时间,无法起到应急作用。新的智能流量清洗实现了快速接入,统一接入,这得益于系统完整统一的架构,用户接入时只需要跟运营简单配合或者经过BSOP控制台简单操作就可以打通。

 

2.纵深防御,数据打通

 

沿着客户端->网络层->应用层->内部的流向将数据全部打通,所有计算指标和数据都是共享的,达到一份流量copy解决多份问题。 数据打通给后端带来最精准的模型识别方式,提高识别准确率,同时也不需要浪费大量时间和空间的数据。

 

3.自动升级,主动防御

 

以DDOS攻击为例,当攻击发生时人为的抵御无法对抗机器攻击,这需要我们通过策略的拦截效果实时监控,可以动态拉起、降级、收紧、放松策略而不需要人工参与,完成自动、主动防御。

 

4.机器学习,策略推荐

 

使用纯粹的规则无法预测下一次变异攻击,另外CC攻击、限流等人为防御会有偏差。新的清洗理念可以根据正常量告诉推荐值,自动生成策略、模型和对应的阈值,有问题时实现自动上线。

 

四、七层流量清洗特点

 

1. 分布式计算/防护架构

清洗更快,清洗能力和部署机器数量呈线性增长,能够应对超大规模的安全防护。

 

2. 云端多维度、多方法的指标计算

防护CC攻击是一个维度,计算一个IP一秒内访问多少次作为指标。另外,从用户的角度出发,一个用户访问接口的频率是另一个维度。一个维度时采用计算的方式代价最小,效率最高,但问题在于不能支持复杂场景。现在,可以同时考虑IP和用户两个维度,实现应对复杂场景的需求,并且提供非常灵活的策略开发、灰度、线上观测机制。

 

3. 直观数据查询和拦截分析

通过流量清洗的工作台,非常直观的看到各个业务的安全情况,例如拦截、误拦截,并提供了诸如数据查询和拦截分析等运营能力。

 

4. 智能化

攻击导致崩溃后,通过监控自动启动拦截方式。智能化也是以后的发展方向。

 

华纳云的香港高防服务器 Anti-DDoS 系统集成攻击指标、遥测以及先进的逐包检测机制,全天候监控网络流量,精准识别 DDoS/CC 全类攻击并秒级触发防御。其清洗中心采用自动内联缓解和智能路由技术,实施七层过滤的手术刀式清洗,精准强力地过滤攻击流量,并返注正常流量回源站,保障您的网站始终在线。

华纳云

客服咨询
7*24小时技术支持
Telegram
hncloudnoc

技术支持

渠道支持