伴隨互聯網世界的飛速發展，各企業在享受迅捷的網絡所帶來的用戶流量的同時，安全隱患卻無處不在。針對IP發起的DDoS(分布式拒絕服務攻擊)攻擊就是其中的一種，它們利用合理的服務請求來占用大量的服務器帶寬資源，把網站的合法訪客堵在外面，從而得不到服務器正常響應。嚴重降低了服務器的可用性。

　　流量牽引的必要性

　　針對這種惡意流量攻擊的行為，最初防御DDoS攻擊都是根據防火墻上的抗DDoS模塊來實現硬防，當面對超大規模的流量攻擊，防火墻自身構造的瓶頸變得顯而易見。之后，人們采用在網絡中串聯進抗DDoS攻擊設備來抵抗更大規模的流量攻擊，但與此同時，這些增加設備也相當于增加了潛在的故障點。而流量牽引技術通過疏導流量，有效提高網絡抗DDoS的容錯性。經過流量牽引后到達抗DDoS設備上的流量經過分流后必然有所減弱，流量越小抗DDoS攻擊設備分析和防御能力就會越強。當針對server1的攻擊流量到達抗DDoS設備的時候，我們面臨兩種可能，一種是能夠防御的住，一種是防御不住。如果防御的住，那當然就不存在問題了。如果防御不住呢? 最多會造成一個地址不能被訪問，將攻擊所能造成的危害降低到最小，不至于因為一個點的攻擊而導致整個網絡不能通信，這個代價相比而言是最小的。

　　流量牽引的拓撲原理

　　當網絡中存在攻擊時，服務器遭受到了DDoS攻擊，Probe監測到攻擊行為后，目標為服務器1的流量將被轉發到抗DDoS設備，這些流量到達抗DDoS設備經過有目的的檢測、甄別、過濾，其余的合法流量將繼續被轉發到R2。而此時其它的流量仍然保持原來的路線，即直接從R1轉發到R2。從而這些攻擊流量和正常流量實現分離，防御性能高的服務器設備被用來專門抵抗DDoS攻擊，而多數正常流量盡可能的不受到攻擊的干擾，實現正常的訪問。

　　流量牽引技術的實現

　　流量牽引拓撲從路由器到內部網絡變成了雙鏈路，而且又增加了一個新設備——Probe。假設服務器1正在受到攻擊。Defender是在“黑洞”的基礎上發展起來的，在已有技術的基礎上加強了對應用層DDoS的防御。由于對針對服務器1的攻擊流量被切換到了Defender上，外網到服務器2和服務器3的訪問將不受到干擾，攻擊的壓力落在了Defender和服務器1上。這樣我們就把被攻擊事件限制在了局部。通常DDoS攻擊目標明確，而且是持續不斷的不定期的騷擾。必要的時候也可以通過Probe的監測功能來追蹤攻擊來源，Probe可以收集到整個網絡的netflow信息，通過對這些信息的分析，判斷出攻擊流量進入網絡的入口。層層追蹤鎖定攻擊來源的范圍。

　　DDoS防御需要一系列設備的聯合部署、分工合作，同時也需要專業的技術人員進行合理架構和防攻判斷，從而實現最大的防御效果和最輕微的網絡影響。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇