互聯網通道在過去十年中變得更加臃腫。我們已經從 1 Mbps 鏈路轉向 1 Gbps 鏈路。大多數企業(yè)的數據中心至少有 1 Gbps ISP 鏈路。在過去，QoS、數據包精簡、應用程序優(yōu)先級等等曾經是一個大問題，但現在我們只是投入更多的帶寬容量來解決任何潛在的性能問題。然而，在保護您的基礎架構免受 DDoS 攻擊時，1 Gbps、10 Gbps 甚至 40 Gbps 的容量完全不夠。因為在 2019 年，即使是相對較小的 DDoS 攻擊也超過 10Gbps，而較大的 DDoS 攻擊大于 100Gbps。

　　因此，當安全專精人員設計 DDoS 防御解決方案時，關鍵考慮因素之一是 DDoS 防御服務的容量。也就是說，要弄清楚哪個 DDoS 防御服務實際上有能力承受大的 DDoS 攻擊。讓我們來看看一些可用的解決方案，并了解供應商聲稱的容量與阻止大規(guī)模 DDoS 攻擊的實際能力之間的差異。

　　一、內部部署 DDoS 防御設備

　　首先，要警惕任何路由器、交換機或網絡防火墻，它也被定位為 DDoS 防御設備。它們有可能無法承受超過 10Gbps DDoS 攻擊。有少數公司制造專用的 DDoS 防御設備。這些設備通常部署在網絡邊緣，盡可能靠近 ISP 鏈路。這些設備中的許多設備可以防御 10 Gbps 的攻擊，但是，廣告的防御容量通?；谝粋€特定的攻擊向量，所有攻擊數據包都具有特定的大小。

　　無論供應商如何，您都需要測試設備承受多向量攻擊的能力，在真實世界中的性能表現以及在給定吞吐量下通過干凈流量的能力。防御大規(guī)模攻擊，pps 有時比 bps 更重要，許多設備將首先達到他們的 pps 限制。您還要確保深入研究攻擊防御設備的內部，特別是如果在傳遞正常流量時使用相同的 CPU 來防御攻擊。最有效的設備將攻擊流量與正常流量隔離開來，從而確保攻擊防御而不影響正常流量。

　　最后，請記住，如果您的 ISP 鏈路容量為 1 Gbps，并且您有一個能夠防御 10Gbps 的 DDoS 防御設備，則不會受到 10Gbps 攻擊的保護。這是因為即使在內部部署設備有機會 “清理” 攻擊流量之前，攻擊也會填滿您的通道。

　　二、基于云的清洗中心

　　廣泛部署的第二種 DDoS 防御解決方案是基于云的清理解決方案，例如創(chuàng)新互聯高防IP。在這里，您不需要在數據中心安裝 DDoS 防御設備。相反，您使用部署在云中的 DDoS 防御服務。使用此類解決方案，您可以連續(xù)地從數據中心向云服務發(fā)送遙測，當出現與 DDoS 攻擊相對應的峰值時，您會將流量 “轉移” 到云服務。

　　有一些供應商只是添加他們在所有數據中心擁有的所有 ISP 鏈路的凈容量。這是誤導性的，因為他們可能會將正常的每日清潔流量添加到廣告容量中。因此，請詢問他們排除正常的清潔流量以后可用的攻擊防御容量。

　　有一些供應商提供這種類型的解決方案，但同樣，在涉及云 DDoS 服務的容量時，魔鬼就是細節(jié)。一些供應商只是添加他們在所有數據中心擁有的所有 ISP 鏈路的 “凈” 容量。這是誤導性的，因為他們可能會將正常的每日清潔流量添加到廣告容量中 - 因此請詢問可用的攻擊防御容量，排除正常的清潔流量。

　　此外，供應商可能在不同的清洗中心具有不同的容量，并且所有清洗中心的凈容量可能無法很好地反映您關注的數據中心所在地的清洗中心攻擊防御能力。最后，重要的是 DDoS 防御提供商為清潔流量提供完全獨立的數據路徑，并且不會將干凈的客戶流量與攻擊流量混合在一起。

　　三、內容分發(fā)網絡

　　第三種類型的 DDoS 防御架構基于利用內容分發(fā)網絡(CDN)來擴散大型 DDoS 攻擊。然而，當涉及到 CDN 的 DDoS 防御能力時，情況再次變得模糊。

　　大多數 CDN 在全球范圍內分布有 10s、100s 或 1000s 的 PoP。許多人只是計算所有這些 PoP 的凈總容量，并將其作為總攻擊防御能力進行宣傳。這有兩個主要缺陷。真實世界的 DDoS 攻擊很可能來自有限數量的地理位置，在這種情況下，真正重要的容量是本地 CDN PoP 容量，而不是所有 PoP 的全球容量。

　　其次，大多數 CDN 在所有 CDN 節(jié)點上都傳遞了大量正常的客戶流量，因此如果 CDN 服務聲稱其攻擊防御容量為 40Tbps，則可能計入正常流量的 30Tbps。您需要確定的是，未使用的總容量是多少，無論是凈總量水平還是地理區(qū)域內。

　　四、創(chuàng)新互聯香港高防服務器

　　知名香港數據中心、香港服務器租用服務商創(chuàng)新互聯，推出的香港高防服務器，成為越來越多企業(yè)級外貿電商客戶的優(yōu)先選擇。其香港高防服務器，是指客戶租用一臺具備 DDoS 攻擊防御能力的香港服務器，無需備案，快速上線。其香港高防服務器基于先進的攻擊智能檢測處理平臺，可在 5 分鐘內快速識別多達 25 種以上的 DDoS 變種攻擊、CC 攻擊及其任意組合，并秒級觸發(fā)清洗機制，有效防御能力高達 310Gbps。且支持壓力測試和防御無效退款承諾。如果你的網站沒有備案需求，且面臨 DDoS 威脅，建議參考創(chuàng)新互聯高防服務器，或者其即將推出的高防 IP 服務。

　　五、基于 ISP 提供商的 DDoS 防御

　　許多 ISP 提供商提供 DDoS 防御作為 ISP 通道的附加服務。這聽起來是一個自然的選擇，因為他們能夠監(jiān)控到所有流量，甚至在這些流量未到達您的服務器之前。所以最好在 ISP 的數據中心內阻止攻擊。對吧?遺憾的是，大多數 ISP 在其自己的基礎架構中部署了半適當的 DDoS 防御，并可能將攻擊流量傳遞到您的服務器中。事實上，在某些情況下，某些 ISP 實際上可能會在您受到攻擊時封停您的 IP，以保護其他與您共享網絡資源的客戶不受攻擊連帶影響。詢問您的 ISP 服務商，如果他們發(fā)現 500Gbps 攻擊發(fā)生在您的服務器上，會發(fā)生什么。

　　上面討論的所有 DDoS 防御解決方案都是有效的并且被廣泛部署。但是，您應該從服務提供者那里獲取其真實的攻擊防御能力信息。根據本地容量、清除和攻擊流量之間的區(qū)別，任何攻擊上限和任何 SLA 來測試您的提供商。最終選擇一家可靠的 DDoS 防御服務來為您的在線業(yè)務保駕護航。

當前題目：DDoS防御中的帶寬容量重要嗎
網頁鏈接：http://www.rwnh.cn/news/266272.html

成都網站建設公司_創(chuàng)新互聯，為您提供自適應網站、微信公眾號、網站改版、品牌網站設計、小程序開發(fā)、虛擬主機

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯