随着企业业务的持续拓展和数智化转型步伐的加快,数据中心已逐渐演变为企业数据存储、处理和应用的关键部署场地,这也使得数据中心面临着日益严峻 的网络安全风险,其中DDoS攻击以其高效性依旧是数据中心面临的主要威胁之一。伴随着数智化的发展,DDoS攻击出现了一些新的特征,这对数据中心如何做好DDOS攻击防御 提出了更高的要求。
DDoS高防数据中心的架构设计复杂且高效,其核心组成包括以下关键元素:
01硬件设备
数据中心配备高性能的网络设备,如异常流量检测设备、异常流量清洗设备、高防转发设备、DNS解析设备等,以应对海量数据流量。特别是高容量、 高速率的网络设备能够承受大规模DDoS攻击带来的巨大流量压力。
02大规模带宽资源
拥有充足的带宽储备,确保在遭受攻击时有足够的吞吐能力,能够吸收和分散恶意流量,保证正常业务流量不受影响。
03智能流量清洗系统
运用先进的流量清洗技术,通过深度包检测(DPI)和行为分析,实时甄别并剔除恶意流量,仅将合法业务流量回送至服务器。
04防护策略
采用多层次、灵活的防护策略,包括但不限于黑名单、白名单、限流策略、协议防护、端口防护等,可依据攻击类型和企业业务特性进行定制化配置。
05智能分析系统
结合人工智能和大数据分析技术,对网络流量进行实时监控和智能分析,能够快速识别新型、复杂的攻击手段,并自动调整防护策略,实现动态防御。
06冗余备份与灾备系统
高防数据中心通常具备冗余设计,如电源、网络连接等,确保即使在单一节点失效的情况下,也能保证服务的高可用性。
07协同防御与联动响应
与其他安全系统(如WAF、IPS等)密切配合,实现端到端的安全防护,并能与安全运营团队进行实时联动,提供紧急响应和快速修复。
通过以上关键元素的有机整合,DDoS高防数据中心构建了一道强大的防线,能够有效抵挡多种形态、规模的DDoS攻击,切实保障企业业务连续性和数据安全。
下以东部某高防三线数据中心为例,就其防御层级及安全设备做简单介绍。
防御层级:三层
01第一层:运营商过滤
将常见DDoS放大攻击源端口、SYN大包、不常见三层协议在运营商路由器上通过acl 丢弃。
下述协议或端口为高防清洗中心可与上层做丢弃处理。
源端口 | UDP协议 |
---|---|
11211 | MEMCACHED |
123 | NTP */需要在机房内部自建NTP服务器,用于内网服务器NTP服务 |
1900 | SSDP |
161 | SNMP |
53 | DNS */需要在机房内部自建DNS服务器,用于内网服务器域名解析 |
69 | TFTP |
389 | CLDAP |
也可对固定高防段封禁UDP协议SYN 大包,大于90字包长非TCP\UDP\ICMP\GRE 协议IP Fragment 报文。
02第二层 DDoS流量清洗域
可由异常流量检测系统+异常流量清洗集群组成或单异常流量清洗系统集群构建,用于防御DDoS流量攻击,如SYN Flood、ACK Flood、UDP Flood、ICMP Flood 等各类洪水攻击及反射放大类攻击。
异常流量检测系统+异常流量清洗集群,此组网方式,可实现动态按需清洗。
解决单清洗集群的常驻清洗模式组网场景中的下述常见问题:
■ 彻底解决DDoS清洗系统对无攻击业务误拦截、清洗影响;
■ 解决单清洗集群组网下因策略设置不当或设备性能不足时,全网波动;
■ 缓解因常驻地址量过大导至清洗管理中心操作卡慢,日志存取异常等;
当高防防数据中心业务IP地址数量超过8000时,建议方式为必选方案。
傲盾异常流量检测系统分光/镜像方式引入业务数据,实时检测DDoS攻击事件,毫秒级引流。
单清洗集群组网,早期高防数据中心组网模式,要求数据中心内所有业务地址全部引入清洗集群。实时检测、清洗异常流量。适用于高防数据中心初创,业务开展快速增长前期阶段。 成本比检测+清洗集群方式要低。当业务发展到一定阶段时,应逐步向检测+清洗集群方式过度。
流量清洗域常见防御策略:
【全局】-TCP空连接策略;
【全局】-TCP 防御策略;
【全局】-异常协议过滤策略;
【全局】-HTTP插件策略;
【全局】-GAME 通用策略;
自动黑洞策略:阈值设置为防御总带宽80%。
03第三层 CC/应用攻击清洗区
高防数据中心每个业务单元单独部署傲盾异常流量清洗CC攻击专用处理设备。采用双机集群模式或主备模式。处理从流量区下透的应用/CC攻击数据。 CC攻击专用处理设备采用串联方式接入网络。傲盾CC攻击专用处理设备优化了普通清洗系统的漏洞模块、连接处理模块性能,内核预置多协议连接追踪与建模算法, 可防御大部分应用/CC攻击。
傲盾CC专用设备部分应用攻击防御原理:
请HTTP CC 插件模式1
HTTP 字段过滤
TCP连接插件
DNS插件
通过上述防御层级和安全设备的组合,东部某高防三线数据中心构建了一道强大的防线,能够有效抵挡多种形态、规模的DDoS攻击,切实保障企业业务连续性和数据安全。