對於在線企業特別是電信運營商數據中心網絡來說,分布式拒絕服務攻擊(DDoS)的出現無疑是一場災難,對於它的有效防護一直是網絡應用中的一個難題。一直以來DDoS是人們非常頭疼的一個問題 ,它是一種很難用傳統辦法去防護的攻擊手段,除了服務器外,帶寬也是它的攻擊目標。和交通堵塞一樣,DDoS已經成為一種網絡公害。傳統防護:有心無力防止DDoS攻擊,比較常用的有黑洞法、設置路由訪問控制列表過濾和串聯防火牆安全設備等幾種 黑洞法:具體做法是當服務器遭受攻擊之後,在網絡當中設置訪問控制,將所有的流量放到黑洞裡面去扔掉。這個做法能夠在攻擊流量過來的時候,將所有攻擊拒之門外,保證對整個骨干網不造成影響,但它同時也將正常流量擋在了門外,造成服務器無法向外部提供服務,中斷了與用戶的聯系。設置路由訪問控制列表過濾: 這種方法企業用戶自己不去部署,而是由電信等服務提供商對骨干網絡進行配置,在路由器上進行部署。現在路由器上的部署就是兩種方式,一種是ACL——作訪問控制列表,還有一種方式是做數據限制。這兩種方式都可以歸結為ACL,它的最大問題是如果攻擊來自於互聯網,將很難去制作面向源地址的訪問列表,因為源地址出處帶有很大的隨意性,無法精確定位,惟一能做的就是就面向目的地址的ACL,把面向這個服務器的訪問控制量列出來,將所有請求連接的數據包統統扔掉,用戶的服務將受到極大影響。另外一個缺陷就是在電信骨干上設置這樣的訪問控制列表將給訪問控制量管理帶來極大困難。而且采用這種方法還帶有很大的局限性,它無法識別虛假和針對應用層的攻擊。串聯的防火牆安全設備:對付DDoS攻擊,還有一種是采用防火牆串聯的方法,對於流量已達幾十個G的運營商骨干網絡來說,由於防火牆能力和技術水平所限,幾個G的防火牆設備很容易就會超載導致網絡無法正常運行,而且具有DDoS防護功能的防火牆吞吐量會更低,即使是防火牆中的“頂尖高手”也是有心無力,無法擔此重任。另外采用這樣的方法無法保護上行的設備,缺乏擴展性,還有就是無法有效的保護面向用戶的資源。解決之道在“智能”從以上分析不難看,傳統對付DDoS的方法效率不高,而且還存在著一些無法克服和解決的問題。智能化DDoS防護系統是由檢測器和防護器兩部分構成。它具有使用方便,部署簡單,無需改變網絡原先構架,實行動態防護等優點,從根本上解決了DDoS的防護問題。防護器采用並聯方式連接在骨干網絡當中,對網絡結構沒有任何影響。當網絡中有不良流量對網絡進行攻擊時,檢測器會向防護器發出報警,這樣DDoS防護器就能知道網絡中服務器被攻擊的情況,攻擊的目的以及來自哪些地址。這時防護器立即啟動開始工作,通知路由器,,將面向這些地址的流量全部都發送到防護器,暫時接管了網絡中的這些數據流量,並對其進行分析和驗證,所有非法惡意流量將在這裡被截獲丟棄,而正常的流量和數據將被繼續傳送到目的地。
