今天偶然學(xué)習(xí)到了防止DDOS攻擊的流量清洗系統(tǒng)，它其實的主要原理是在受到DDOS攻擊的大流量時，把流量牽引到安全的地方進行清洗，然后把正常的報文帶回去目標主機。那么DDOS流量清洗的原理是什么？

流量清洗服務(wù)是提供給租用IDC服務(wù)的政企客戶，針對對其發(fā)起的DOS/DDOS攻擊的監(jiān)控、告警和防護的一種網(wǎng)絡(luò)安全服務(wù)。該服務(wù)對進入客戶IDC的數(shù)據(jù)流量進行實時監(jiān)控，及時發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提下，清洗掉異常流量。有效滿足客戶對IDC運作連續(xù)性的要求。同時該服務(wù)通過時間通告、分析報表等服務(wù)內(nèi)容提升客戶網(wǎng)絡(luò)流量的可見性和安全狀況的清晰性。 

攻擊檢測系統(tǒng)檢測網(wǎng)絡(luò)流量中隱藏的非法攻擊流量，發(fā)現(xiàn)攻擊后及時通知并激活防護設(shè)備進行流量的清洗；攻擊緩解系統(tǒng)通過專業(yè)的流量凈化產(chǎn)品，將可疑流量從原始網(wǎng)絡(luò)路徑中重定向到凈化產(chǎn)品上進行惡意流量的識別和剝離，還原出的合法流量回注到原網(wǎng)絡(luò)中轉(zhuǎn)發(fā)給目標系統(tǒng)，其它合法流量的轉(zhuǎn)發(fā)路徑不受影響；監(jiān)控管理系統(tǒng)對流量清洗系統(tǒng)的設(shè)備進行集中管理配置、展現(xiàn)實時流量、告警事件、狀態(tài)信息監(jiān)控、及時輸出流量分析報告和攻擊防護報告等報表。 

通過在IDC出口通過旁掛的方式部署探測設(shè)備及防護設(shè)備，通過路由方式引導(dǎo)客戶流量清洗，實現(xiàn)DDos防護功能 

抗DDOS攻擊產(chǎn)品（異常流量管理系統(tǒng)）由異常流量檢測(Detector)、異常流量清洗(Guard)和管理中心（Manager）三個模塊組成： Detector模塊負責對不同網(wǎng)絡(luò)節(jié)點的流量進行實時關(guān)聯(lián)分析，在定位異常流量發(fā)源地后通知Guard模塊對異常流量完成牽引和過濾，Manager對網(wǎng)絡(luò)中的Detector和Guard設(shè)備進行統(tǒng)一管理審計，系統(tǒng)通過三個模塊的協(xié)同工作，完成全網(wǎng)的流量分析、異常流量牽引、DDoS攻擊過濾、P2P識別與控制、異常流量帶寬限制等處理，幫助用戶實時了解網(wǎng)絡(luò)運行狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的問題并自動對異常行為做出響應(yīng)，從而快速消除異常流量造成的危害。 

◆ Detector：包括一到多個硬件采集器（Agent）和一個中心服務(wù)器（Server），采用分布式處理方式，完成網(wǎng)絡(luò)流量數(shù)據(jù)采集、流量分析和異常流量牽引等處理。Detector在異常流量管理統(tǒng)中可作為異常流量檢測模塊，也可以單獨使用。 

◆ Guard：采用高性能硬件平臺，完成DDoS攻擊過濾、P2P識別與控制和異常流量限速等處理。Guard在異常流量管理系統(tǒng)中可作為異常流量清洗模塊，也可以單獨使用。 

◆ Manager：是一套完整的管理中心，可以對網(wǎng)絡(luò)中所有的Detector設(shè)備和Guard設(shè)備進行統(tǒng)一管理、監(jiān)控、審計等工作，讓用戶更及時，更簡單，更全面的管理網(wǎng)絡(luò)中的突發(fā)事件和異常流量。 

具體的DDOS流量清洗系統(tǒng)原理如下： 

1. 檢測攻擊流：異常流量檢測設(shè)備Detector通過流量采集例如Netflow方式檢測到異常流量，判斷是否有可疑DDoS攻擊存在。如果有，則通報給異常清洗設(shè)備Guard。 

2. 流量牽引：串聯(lián)部署的異常流量清洗設(shè)備Guard則對所有通過的流量進行清洗，旁路部署異常流量清洗設(shè)備Guard通過動態(tài)路由發(fā)布，將原來去往被攻擊目標IP的流量牽引至自身來進行清洗。 

3. 流量清洗：異常流量清洗Guard通過特征，基線，回復(fù)確認等各種方式對攻擊流量進行識別，清洗。 

4. 流量回注：經(jīng)過異常流量清洗Guard設(shè)備的清洗之后，正常訪問流量被注入到原有網(wǎng)絡(luò)中，訪問目的IP。此時從被保護主機來看，并不存在DDOS攻擊，服務(wù)恢復(fù)正常。 

在安裝專業(yè)抗DDOS產(chǎn)品過程中，根據(jù)不同網(wǎng)絡(luò)而采用不同的部署方式，起到更好的抗攻擊效果。同時抗DDOS攻擊產(chǎn)品也在不斷的發(fā)展之中。 

關(guān)于DDOS的防御 

1）、采用高性能的網(wǎng)絡(luò)設(shè)備 

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。 

2）、充足的網(wǎng)絡(luò)帶寬保證 

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有100M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SynFlood攻擊，當前至少要選擇1G的共享帶寬，最好的當然是掛在10G主干上了。 

3）、升級主機服務(wù)器硬件 

在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：雙核CPU、4-8G內(nèi)存、高速處理網(wǎng)卡等�？傊�，一定要讓自己服務(wù)器的硬件處理能力足夠強大，這樣才能經(jīng)得起暴風雨的洗禮。 

4）、把網(wǎng)站做成靜態(tài)頁面 

把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務(wù)器。此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

天下數(shù)據(jù)推出DDOS高防IP解決方案

DDoS高防IP服務(wù)是針對游戲、金融、電商、網(wǎng)站等用戶在遭受大流量DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下，推出的付費增值服務(wù)，用戶可以通過配置高防IP（無需備案，無需備案），將攻擊流量引流到高防IP，確保源站穩(wěn)定可靠。天下數(shù)據(jù)推出DDOS高防IP，100T超大防護帶寬，1800G超大流量防御，價格低至1000元/月。為您提供超強DDOS攻擊防御保障。詳詢客服！

天下數(shù)據(jù)提供美國高防服務(wù)器、香港高防服務(wù)器、韓國高防服務(wù)器等；其中佛山高防服務(wù)器提供集群420G，單IP最大可加至240G的秒解防御，無限秒解不封機。該高防機房很好的解決各種CC、流量等DDOS攻擊，為您的業(yè)務(wù)保駕護航。詳詢在線客服！

本文鏈接：http://m.51huadong.com/cloundnews/11002649.html