7*24小时技术支持
Telegram
hncloudnoc
使用过香港高防服务器的站长应该对“流量清洗”这一名词不会陌生,很多IDC服务商在香港高防服务器的影响文案上都会标注“DDoS 流量智能清洗”这几个字眼。接下来华纳云小编帮大家整理了一些关于"流量清洗"的知识点,方便大家理解。
一、流量清洗的定义
通过技术手段识别恶意流量(非正常网络数据),并将其剔除或阻断来路,保证信息系统不被DDoS攻击侵害的一种方法。
传统的恶意流量来源于攻击、扫描等,例如DDOS攻击、CSRF攻击、XSS攻击,或使用扫描引擎如APPScan对网站的漏洞尝试扫描。与之对应的有传统的抵御方式,如云平台上针对DDOS的防御,用WAF平台抵挡Web的漏洞扫描等等。
二、传统的流量清洗方案
传统清洗方案对于不同的攻击都有单独的防护模块,如针对CC攻击、DDOS攻击都部署特定的模块。这样的架构集中在了业务上,导致系统在计算、带宽资源消耗了后才能发挥防护作用。传统清洗方案存在如下弊端:
每一个系统都需要部署和运维,不同运营人员之间沟通不畅可能导致前后防护对象的重叠,更有甚者前后规则的冲突可能引发系统故障
模块之间缺乏协作,各自为战,可能出现攻击突破每一层防线,却无法问责的情况。
数据消耗。每个模块全流量计算产生大量消耗,每层贴标签加入字段扩大了数据量,甚至可能产生数据篡改,导致最后策略不准。
三、先进的七层流量清洗理念
针对如上问题,如今有了更有先进的流量清洗理念,下面重点介绍七层流量清洗理念。
1.快速接入,统一接入
传统接入需要了解应用架构,统一还是特殊的接入层、应用上是否有连接层,应用上采用何种协议等因素都会影响接入速率。特别是遇到紧急情况,例如当遭受爬虫攻击导致系统濒临崩溃时,部署测试需要大量时间,无法起到应急作用。新的智能流量清洗实现了快速接入,统一接入,这得益于系统完整统一的架构,用户接入时只需要跟运营简单配合或者经过BSOP控制台简单操作就可以打通。
2.纵深防御,数据打通
沿着客户端->网络层->应用层->内部的流向将数据全部打通,所有计算指标和数据都是共享的,达到一份流量copy解决多份问题。 数据打通给后端带来最精准的模型识别方式,提高识别准确率,同时也不需要浪费大量时间和空间的数据。
3.自动升级,主动防御
以DDOS攻击为例,当攻击发生时人为的抵御无法对抗机器攻击,这需要我们通过策略的拦截效果实时监控,可以动态拉起、降级、收紧、放松策略而不需要人工参与,完成自动、主动防御。
4.机器学习,策略推荐
使用纯粹的规则无法预测下一次变异攻击,另外CC攻击、限流等人为防御会有偏差。新的清洗理念可以根据正常量告诉推荐值,自动生成策略、模型和对应的阈值,有问题时实现自动上线。
四、七层流量清洗特点
1. 分布式计算/防护架构
清洗更快,清洗能力和部署机器数量呈线性增长,能够应对超大规模的安全防护。
2. 云端多维度、多方法的指标计算
防护CC攻击是一个维度,计算一个IP一秒内访问多少次作为指标。另外,从用户的角度出发,一个用户访问接口的频率是另一个维度。一个维度时采用计算的方式代价最小,效率最高,但问题在于不能支持复杂场景。现在,可以同时考虑IP和用户两个维度,实现应对复杂场景的需求,并且提供非常灵活的策略开发、灰度、线上观测机制。
3. 直观数据查询和拦截分析
通过流量清洗的工作台,非常直观的看到各个业务的安全情况,例如拦截、误拦截,并提供了诸如数据查询和拦截分析等运营能力。
4. 智能化
攻击导致崩溃后,通过监控自动启动拦截方式。智能化也是以后的发展方向。
华纳云的香港高防服务器 Anti-DDoS 系统集成攻击指标、遥测以及先进的逐包检测机制,全天候监控网络流量,精准识别 DDoS/CC 全类攻击并秒级触发防御。其清洗中心采用自动内联缓解和智能路由技术,实施七层过滤的手术刀式清洗,精准强力地过滤攻击流量,并返注正常流量回源站,保障您的网站始终在线。
