T级攻击态势下解析DDOS高防IP系统架构

7层负载均衡技术，针对网站类业务的代理和防护，对HTTP/HTTPS协议的支持，各种CC攻击的防护，都会集成在7层负载均衡的系统里面。

• 独享IP。优点就是一个业务IP被DDoS攻击，不会影响其他的业务，资源隔离。
• 高可用，可扩展。根据应用负载进行弹性扩容，在流量波动情况下不中断对外服务。可以根据业务的需要，随时增加或减少后端服务器的数量，扩展应用的服务能力。
• 安全能力。具备in/out双向流量信息，可以提供精细化、域名级别、session级别的应用级别DDoS防护。

对4层和7层进行深度开发安全功能，上下游配合，各取所长，配合大流量清洗集群才能将防护做到极致。

4. 数据实时分析系统

(1) 流量分析

首先是数据源，数据源机制有很多种，比较熟知的是利用NetFlow进行采样分析攻击检测，也可以通过1:1分光分流的方式获取全部流量统计检测，很明显1:1分光的方式需要更高的资源和更高效的数据分析系统，需要研发能力和技术支撑的，也会取得更佳的效果。

(2) 应用识别

拿到原始报文和数据后，需要做的就是区分应用了。应用的区分可以是IP级别，可以是IP+端口级别，也可以是域名级别等。不同业务的防御方法是有差别的，需要做到根据业务特性来制定专业的防御方案。

(3) 攻击分析

目前DDoS的攻击分析已经摆脱了以前基于统计的分析算法，引入了行为识别、机器学习的理论和实践，而这些算法都帮助我们能更好对攻击进行防护，我们还应该关注如何将这些算法有效的实时应用到用户的防御对抗中。

综上来看，DDoS攻击防护存在木桶短板原理，任何一个攻击防护点的效果都会影响到整体的防御效果。未来的DDoS高防IP应该具备弹性带宽、高冗余、高可用、访问质量优、业务接入简单的特点。同时通过DDoS防护能力的OPENAPI化，和用户自动化运维体系的打通，实现安全和业务结合，以更好的助力业务发展。

【编辑推荐】

1. 最可怕的八种黑客手段，网络攻击真是无孔不入！
2. 网络攻击者可以使用你的特权用户凭证的3种隐藏方式
3. 黑客寻找网站真实IP手段大揭秘！
4. DDos攻击解析
5. 微隔离可减少网络攻击面

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!