阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3912阅读
  • 2回复

[云安全体系/架构/合规专区]DDoS防御,唯快不破

级别: 新人
发帖
1
云币
2
m,.Y:2?*V  
      DDoS攻击特别是大流量DDoS有一个可怕的特点:可能在一瞬间拥塞带宽,导致网络抖动和拒绝服务阿里有着很丰富的应对DDoS经验,然而早期的阿里云DDoS系统在防御大流量的DDoS攻击时往往心有余力不足,其中一个主要的原因是处理延时较大。 c*bvZC^6  
  经过反复的测试验证,阿里云云盾团队提出大流量DDoS攻击必须在3秒内处理完成,才能避免对路由设备和网络访问造成影响。我们知道传统的netflow检测方式虽然部署简单,但是往往有数十秒甚至数分钟的延时,并不能达到3秒报警并处理的要求,那么阿里云云盾团队如何实现这个看似不可能的任务 I^NDJdxd  
      首先,阿里云云盾在阿里云机房的各个运营商入口处部署了分光分流器,通过对流量的实时采集和分析提升检测效率。 55Ss%$k@  
      其次,由于每个分光分流器只覆盖一部分线路,云盾将DDoS数据汇总,分析和清洗等服务器下沉到各个区域,就近汇总分析和处理,大大减少了网络延时。 |RX#5Q>z  
      再次,创建大流量报警的快速路径,当采集服务器发现针对某个目的IP的大流量访问时,快速启动报警,先预警后汇总,避免了大流量攻击延时处理可能导致的网络拥塞。 C6!F6Stn]g  
  改造后的DDoS防御架构概念图如下: bo0U  
     N\{"&e  
FI.te3i?7  
H$![]Ujq  
  实际改造过程遇到了很多细节上的问题,比如: 4~fYG|a  
(1)分布式部署的管理和配置分发; NxP(&M(  
(2)有的目的IP入流量从多个区域进入,不仅要建设区域检测,也要建设中心的汇总分析; K;F1'5+=D  
(3)阿里云业务快速扩张和变化带来的挑战。   ' zyw-1  
  通过上述改造,阿里云云盾现在已经可以实现毫秒级的检测和处理,成功防御了多次大流量DDoS攻击,而且往往在用户完全无感知的情况下成功处理,很好的保护了用户业务。 9"~ FKMN  
epy2}TI  
      最后不得不提一下,过快的DDoS检测能力也带来了一些副作用,特别是有可能导致一些误判。我会在下一篇帖子中继续介绍阿里云云盾如何避免DDoS攻击的误判。
关键词: DDoS 云盾 云安全
级别: 新人
发帖
6
云币
13
只看该作者 沙发  发表于: 2017-02-13
ReDDoS防御,唯快不破
10GDDOS服务器到今天一天都没从黑洞出来
级别: 新人
发帖
1
云币
1
只看该作者 板凳  发表于: 2017-02-14
ReDDoS防御,唯快不破
350g,进入黑洞后,需要2个小时才解除,还说防御 “”多次大流量DDoS攻击“”
[ 此帖被请叫我超哥在2017-02-14 18:48重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 79 + 7 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)