基于全球防御体系的大流量 DDoS 防护实践
DDoS 高防 IP 服务是阿里云自主研发、通过专用高防机房提供 DDoS 攻击防护的云安全服务。
服务针对互联网服务器(包括非阿里云主机)在遭受大流量DDoS 攻击后导致服务不可用的情况时,将攻击流量引流到阿里云高防 IP 机房,经过对攻击流量的清洗后将正常业务流量转发至源站服务器,从而确保源站服务器的稳定可用。
1. 超大规模分布式全球 DDoS 防御体系
在全球范围内升级云盾高防网络,以提高响应速度和稳定性,防御能力近 10Tbps。DDoS 高防 IP 服务突破了现有 BGP 高防防护带宽小、购买成本昂贵等不足,相比传统静态大带宽攻击防御系统的优势体现在灵活的弹性可扩展能力,更好的网络稳定性和交付体验上。
在 分布式能力上,DDoS 高防 IP 服务全面升级 BGP Anycast 网络,充分利用阿里云全球清洗中心能力,采用智能调度技术将大规模 DDoS 攻击流量自动牵引至距离攻击源最近的清洗中心,同时具备多机房自动容灾的能力。高防 IP 服务也可以为非阿里云内用户提供同等能力的 DDoS攻击防御。
2. 精细化和智能化的防御机制
阿 里云基于自主研发的云盾产品,为用户提供全面的 DDoS 防护服务,可以防护 SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC 攻击等三到七层 DDoS 攻击。
除了对传统业务提供有效的防御之外,阿里云 DDoS 高防 IP 服务层支持对包括社交类 APP、交易、视频直播和智能物联网等低延迟,高实时性新业务应用的大规模 DDoS 攻击防御。
在传统的代理、探测、反弹、认证、黑白名单、报文合规等标准技术的基础上,结合 Web 安全过滤、信誉、七层应用分析、用户行为分析、特征学习、防护对抗、威胁情报等多种技术,对 DDoS 攻击进行阻断过滤:
精细化。通过对 in/out 双向流量信息的分析,提供精细化、域名级别、session 级别的应用级 DDoS 防护;
智能化。摆脱传统基于统计的分析算法,引入了行为识别、机器学习算法和实践,使得防御更加高效和精准;
全网威胁情报。基于阿里云安全大数据和全网威胁情报能力,针对全网的恶意 IP 进行持续跟踪,在去除掉伪造 IP 后,系统能根据 IP 信誉库自动过滤掉经常发起攻击的恶意 IP。
3. 防御过程和效果可视化
安全可视化是云安全服务的关键能力,特别是在大流量 DDoS 攻击场景下,对攻击的实时监控显得尤为重要。
阿里云 DDoS 高防 IP 服务不断升级可视化能力,实现攻防的数据化、可视化和透明化。
阿里云 DDoS 高防 IP 服务提供对攻击完整和详细的记录,一方面可以进行快速有效的实时分析,进一步改进防护效果;另一方面也便于后续取证和溯源,变被动防守为主动对抗。
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.sosokankan.com/article/1703147.html