DDoS防御中的帶寬容量重要嗎

互聯(lián)網(wǎng)通道在過去十年中變得更加臃腫。我們已經(jīng)從 1 Mbps 鏈路轉(zhuǎn)向 1 Gbps 鏈路。大多數(shù)企業(yè)的數(shù)據(jù)中心至少有 1 Gbps ISP 鏈路。在過去，QoS、數(shù)據(jù)包精簡、應用程序優(yōu)先級等等曾經(jīng)是一個大問題，但現(xiàn)在我們只是投入更多的帶寬容量來解決任何潛在的性能問題。然而，在保護您的基礎(chǔ)架構(gòu)免受 DDoS 攻擊時，1 Gbps、10 Gbps 甚至 40 Gbps 的容量完全不夠。因為在 2019 年，即使是相對較小的 DDoS 攻擊也超過 10Gbps，而較大的 DDoS 攻擊大于 100Gbps。

因此，當安全專精人員設(shè)計 DDoS 防御解決方案時，關(guān)鍵考慮因素之一是 DDoS 防御服務的容量。也就是說，要弄清楚哪個 DDoS 防御服務實際上有能力承受大的 DDoS 攻擊。讓我們來看看一些可用的解決方案，并了解供應商聲稱的容量與阻止大規(guī)模 DDoS 攻擊的實際能力之間的差異。

一、內(nèi)部部署 DDoS 防御設(shè)備

首先，要警惕任何路由器、交換機或網(wǎng)絡防火墻，它也被定位為 DDoS 防御設(shè)備。它們有可能無法承受超過 10Gbps DDoS 攻擊。有少數(shù)公司制造專用的 DDoS 防御設(shè)備。這些設(shè)備通常部署在網(wǎng)絡邊緣，盡可能靠近 ISP 鏈路。這些設(shè)備中的許多設(shè)備可以防御 10 Gbps 的攻擊，但是，廣告的防御容量通常基于一個特定的攻擊向量，所有攻擊數(shù)據(jù)包都具有特定的大小。

無論供應商如何，您都需要測試設(shè)備承受多向量攻擊的能力，在真實世界中的性能表現(xiàn)以及在給定吞吐量下通過干凈流量的能力。防御大規(guī)模攻擊，pps 有時比 bps 更重要，許多設(shè)備將首先達到他們的 pps 限制。您還要確保深入研究攻擊防御設(shè)備的內(nèi)部，特別是如果在傳遞正常流量時使用相同的 CPU 來防御攻擊。最有效的設(shè)備將攻擊流量與正常流量隔離開來，從而確保攻擊防御而不影響正常流量。

最后，請記住，如果您的 ISP 鏈路容量為 1 Gbps，并且您有一個能夠防御 10Gbps 的 DDoS 防御設(shè)備，則不會受到 10Gbps 攻擊的保護。這是因為即使在內(nèi)部部署設(shè)備有機會 “清理” 攻擊流量之前，攻擊也會填滿您的通道。

　　二、基于云的清洗中心

廣泛部署的第二種 DDoS 防御解決方案是基于云的清理解決方案，例如創(chuàng)新互聯(lián)高防IP。在這里，您不需要在數(shù)據(jù)中心安裝 DDoS 防御設(shè)備。相反，您使用部署在云中的 DDoS 防御服務。使用此類解決方案，您可以連續(xù)地從數(shù)據(jù)中心向云服務發(fā)送遙測，當出現(xiàn)與 DDoS 攻擊相對應的峰值時，您會將流量 “轉(zhuǎn)移” 到云服務。

有一些供應商只是添加他們在所有數(shù)據(jù)中心擁有的所有 ISP 鏈路的凈容量。這是誤導性的，因為他們可能會將正常的每日清潔流量添加到廣告容量中。因此，請詢問他們排除正常的清潔流量以后可用的攻擊防御容量。

有一些供應商提供這種類型的解決方案，但同樣，在涉及云 DDoS 服務的容量時，魔鬼就是細節(jié)。一些供應商只是添加他們在所有數(shù)據(jù)中心擁有的所有 ISP 鏈路的 “凈” 容量。這是誤導性的，因為他們可能會將正常的每日清潔流量添加到廣告容量中 - 因此請詢問可用的攻擊防御容量，排除正常的清潔流量。

此外，供應商可能在不同的清洗中心具有不同的容量，并且所有清洗中心的凈容量可能無法很好地反映您關(guān)注的數(shù)據(jù)中心所在地的清洗中心攻擊防御能力。最后，重要的是 DDoS 防御提供商為清潔流量提供完全獨立的數(shù)據(jù)路徑，并且不會將干凈的客戶流量與攻擊流量混合在一起。

　　三、內(nèi)容分發(fā)網(wǎng)絡

第三種類型的 DDoS 防御架構(gòu)基于利用內(nèi)容分發(fā)網(wǎng)絡(CDN)來擴散大型 DDoS 攻擊。然而，當涉及到 CDN 的 DDoS 防御能力時，情況再次變得模糊。

大多數(shù) CDN 在全球范圍內(nèi)分布有 10s、100s 或 1000s 的 PoP。許多人只是計算所有這些 PoP 的凈總?cè)萘?，并將其作為總攻擊防御能力進行宣傳。這有兩個主要缺陷。真實世界的 DDoS 攻擊很可能來自有限數(shù)量的地理位置，在這種情況下，真正重要的容量是本地 CDN PoP 容量，而不是所有 PoP 的全球容量。

其次，大多數(shù) CDN 在所有 CDN 節(jié)點上都傳遞了大量正常的客戶流量，因此如果 CDN 服務聲稱其攻擊防御容量為 40Tbps，則可能計入正常流量的 30Tbps。您需要確定的是，未使用的總?cè)萘渴嵌嗌?，無論是凈總量水平還是地理區(qū)域內(nèi)。

　　四、創(chuàng)新互聯(lián)香港高防服務器

知名香港數(shù)據(jù)中心、香港服務器租用服務商創(chuàng)新互聯(lián)，推出的香港高防服務器，成為越來越多企業(yè)級外貿(mào)電商客戶的優(yōu)先選擇。其香港高防服務器，是指客戶租用一臺具備 DDoS 攻擊防御能力的香港服務器，無需備案，快速上線。其香港高防服務器基于先進的攻擊智能檢測處理平臺，可在 5 分鐘內(nèi)快速識別多達 25 種以上的 DDoS 變種攻擊、CC 攻擊及其任意組合，并秒級觸發(fā)清洗機制，有效防御能力高達 310Gbps。且支持壓力測試和防御無效退款承諾。如果你的網(wǎng)站沒有備案需求，且面臨 DDoS 威脅，建議參考創(chuàng)新互聯(lián)高防服務器，或者其即將推出的高防 IP 服務。

　　五、基于 ISP 提供商的 DDoS 防御

許多 ISP 提供商提供 DDoS 防御作為 ISP 通道的附加服務。這聽起來是一個自然的選擇，因為他們能夠監(jiān)控到所有流量，甚至在這些流量未到達您的服務器之前。所以最好在 ISP 的數(shù)據(jù)中心內(nèi)阻止攻擊。對吧?遺憾的是，大多數(shù) ISP 在其自己的基礎(chǔ)架構(gòu)中部署了半適當?shù)?DDoS 防御，并可能將攻擊流量傳遞到您的服務器中。事實上，在某些情況下，某些 ISP 實際上可能會在您受到攻擊時封停您的 IP，以保護其他與您共享網(wǎng)絡資源的客戶不受攻擊連帶影響。詢問您的 ISP 服務商，如果他們發(fā)現(xiàn) 500Gbps 攻擊發(fā)生在您的服務器上，會發(fā)生什么。

上面討論的所有 DDoS 防御解決方案都是有效的并且被廣泛部署。但是，您應該從服務提供者那里獲取其真實的攻擊防御能力信息。根據(jù)本地容量、清除和攻擊流量之間的區(qū)別，任何攻擊上限和任何 SLA 來測試您的提供商。最終選擇一家可靠的 DDoS 防御服務來為您的在線業(yè)務保駕護航。

當前名稱：DDoS防御中的帶寬容量重要嗎
新聞來源：http://www.muchs.cn/news22/266272.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動態(tài)網(wǎng)站、網(wǎng)站設(shè)計公司、App開發(fā)、關(guān)鍵詞優(yōu)化、營銷型網(wǎng)站建設(shè)、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)