墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

海外高防ip_抗ddos防火墙_怎么防

海外高防ip_抗ddos防火墙_怎么防

2016年3月3日DDoS防护DDoS防护、DDoS防护

DDoS攻击是当今常见的威胁。在大多数事情下,攻击者从外部涌入客户的网络。然而,假如您是云提供商,同时DDoS攻击不是来自外部,该如何办?假如攻击者和目标都在同一具云中如何办?这么你能爱护你的客户吗?查看Xantaro解决方案架构师安全技术Konstantin Agouros撰写的这篇文章,了解Flowmon DDoS Defender和OpenDayLight怎么在云环境中抵御DDoS攻击。

德国Xantaro解决方案架构师安全技术Konstantin Agouros。

分布式拒绝服务(DDoS)攻击是互联网上常见的威胁。实体的要紧威胁是来自外部的攻击。在大多数事情下,攻击者向受害者的网络发送大量数据包或请求,这些数据包或请求要么消耗所有可用带宽,DDoS防护,要么耗尽状态表或内存和CPU等资源。所以,大多数检测和谨防机制都放置在网络的外围。图1描述了DDoS谨防的典型设置。

图1:DDoS谨防常见设置。

可是,CC防御,那个故事还有另一面。云提供商的基础设施常常被用来发动攻击。云数据中内心的(虚拟)机器真的与互联网有高速连接,所以是淹没受害者网络的完美攻击工具。云中易受DDoS攻击攻击攻击的系统也可用于在同一云中举行攻击,由于连接以LAN速度运行,所以阻碍更大。由于所实用于识别和/或缓解的谨防机制都部署在外围,所以在受害者的服务失败之前,不大概识别云中的攻击。

用于检测的Netflow

现代云基础设施使用虚拟交换机将虚拟机彼此和外部世界连接起来。VMWare的vSphere基础架构使用分布式vSwitch,OpenStack在其默认安装中使用OpenvSwitch。两者都支持NetFlow协议,以将有关经过虚拟交换机的流的信息发送到流接收器。流描述了一具特定的连接,例如IP地址1.2.3.4使用tcp与源端口54332和目标端口80对话到2.3.4.5。此外,数据包和字节的数量也在计数中。由于DDoS攻击通常由大量数据包和/或字节组成,所以能够使用NetFlow数据来识别它们。此数据的统计分析显示,假如针对云或从云发起DDoS,则会浮上异常。Flowmon的DDoS defender或Arbor的Peakflow SP等软件能够提供数据,在一些基线化后检测"正常"流量,假如发觉显著偏差,则可用于触发警报。

普通缓解

有各种解决方案能够缓解攻击。在很多事情下,受害者的上行链路很慢,特别容易被淹没,所以需要一种想法,告诉慢速上行链路另一侧的路由器转移攻击流量。这能够经过空路由(例如,丢弃目的地的数据包)或使用BGP Flowspec为路由器提供类似防火墙的规则来实现,这些规则甚至大概经过提供商的网络传播一点。另一种流行的方式是经过所谓的清理中心为受害者路由所有流量,该中心智能地过滤流量,接着只向受害者的方向发送干净的流量。可是,关于云内事情,这些想法是不可行的。在某些事情下,从攻击主机到受害者虚拟机的流量甚至没有经过路由器。假如提供商的云被用于攻击外部目的地,则要紧基于目的地的缓解措施也不起作用。

SDN救援

针对OpenStack用例,Xantaro在Flowmon的支持下设计了一具解决方案。Flowmon的DDoS Defender产品提供了一种"外壳足本"缓解想法,假如检测到DDoS,将触发上传的外壳足本。Xantaro将Flowmon的检测技术与业界率先的SDN操纵器OpenDaylight相结合,将缓解过滤器推到检测到攻击的交换机上。由于Flowmon还能够识别攻击何时停止,所以缓解措施将自动解除。

技术细节

为了实现检测,必须将收集数据的特定虚拟交换机配置为使用Flowmon机器作为NetFlow收集器。这能够经过以下命令实现:

ovs vsctl--设置网桥流量网桥网络流量=@nf--id=@nf创建网络流量目标=\"flowmonserver:3000\"活动超时=10

接下来在DDoS defender应用程序中,必须定义虚拟机所在网络的网段。此外,还必须定义学习周期,同时必须在配置的时刻内收集流量。关于实际部署,应使用一到两周的数据收集时刻。DDoS defender接着允许流量的相对偏差(例如比正常值高300%)触发警报。在警报定义中,能够挑选shell足本并上载足本。在警报定义中,治理员能够定义何时触发警报。要获得脚够的信息使警报准确,需要挑选"检测到攻击并收集攻击特征时运行"选项。此外,还需要挑选"攻击结束时运行",CC防御,以便在攻击结束时运行足本以解除缓解。假如足本运行,它将猎取描述攻击的数据集。此数据包含目标IP、端口和协议。还包括源IP。足本能够使用此信息来确定缓解措施的过滤器。下一具玩家来了:OpenDayLight。OpenDayLight是业界率先的SDN操纵器。它在北向接口上使用RESTAPI。在南向接口上有很多协议可用。其中包括OpenFlow(SDN操纵连接的事实标准)以及BGP等路由协议。OpenVSwitch是市场上最完整的OpenFlow实现之一。为了将所有内容粘合在一起,Xantaro开辟的足本从DDoS警报中猎取信息,对其举行分析,并使用OpenDayLight的REST API将流推送到虚拟交换机上,从而阻挠攻击流量。图2给出了架构概述。

图2:解决方案架构。

此想法包含尽大概远的云内攻击,并防止流量在使用VM举行攻击时扩散到计算节点之外。你不能爱护你看不见的东西!使用Flowmon获得洞察力。试用Flowmon Live演示或下载免费的Flowmon试用版,并与我们的产品保持联系!

标签:DDoS防护、SDN、外部贡献者、云

版权保护: 本文由 主页 原创,转载请保留链接: /ddos/138685.html


QQ客服

400-0797-119