高防CDN防御DDoS攻击

DDoS攻击是取代DOS攻击模型的攻击后，DDoS攻击已经成为攻击的主流模式。所以如果企业网络安全管理员发现DDoS攻击，应该采取果断措施。那么如何进行DDoS防御？本文将简要描述你的DDoS防御的几个步骤。

1，第一次检测到DDoS攻击，并学会了受害者。

2、防范发送BGP通告到远程路由器（BGP前缀的公告设置，并获得高于原BGP通告优先受害人），表示从远程路由器的受害者有一个新的路由和路由保护环回接口，所有的受害者都是通过附属路由器转移到保护。

3、门卫检查流量和攻击流量的去除，和交通安全路由器转发给下属，在被害人是保护核心技术后，是在一张白纸上架构描述（多验证过程，也是以下五级过滤（过滤）：该模块包含静态和动态过滤DDoS。静态过滤、拦截非本质的流量可以自定义或默认的源。动态过滤是基于行为分析和流量分析的细节，通过增加可疑流量确认或拦截恶意流量已经确认，实施反欺骗的实时更新（Anti-Spoofing）：这个模块的验证数据包欺骗。后卫采用独特的，专利的源认证机制，以避免作弊。还通过一些机制来确认合法流量，消除合法的数据包丢弃异常检测（异常识别：该模块监控所有没有被过滤和反欺骗模块放弃流动，与通常的记录基线行为的流量进行比较，异常。其基本原理是通过模式匹配，从不同的黑帽和不同的法律沟通。该原理是用来识别攻击源和类型，并提出拦截的类型的交通指南。

异常检测包括：攻击流量的大小和对高层协议功能并发流的分组到达间隔时间分布的港口分布的大小，在流分类率：源IP源端口和目的端口、协议类型的连接（每日、每周）协议分析（协议分析）：本模块处理中可疑的应用程序攻击的异常检测发现，如HTTP攻击。协议分析也发现了一些协议错误行为。

流量限制（速率限制）：主要处理那些消耗过多的资源流源。

因此，统计分析是异常检测的主要内容，但似乎并没有太多看到从上面的特殊的地方，但必须有一个很好的算法。例如，滤波器，实际上是处理一些具有明显特征的攻击，很熟悉的反欺诈，与SYN泛洪协议，谁也是一个SYN Cookie的模块，但它可能是更多的专利技术。

协议分析其实应该是比较弱的，但根据一些常见的协议特定的攻击，检测和识别的一些协议错误行为只有协议验证，这很简单。流量限制是一种随机丢包，最无能为力，所以是最后一级。

由于该产品主要是缓解，而不是IP追踪。但仍有重要问题可以确定，例如：

1、如何处理实际带宽洪水。如果路由器是千兆，但是，攻击流量已经占到了90%，只有10%的合法使用流量，路由器有先和防范开始的随机丢包。（没有办法，这是所有防御技术的瓶颈）

2，真正的攻击。真正的攻击是困难的或无法识别。例如，具有相同的基本范式，如果统计数据非常接近，很难区分。有一些攻击，如反射式邮件攻击，这是完全合法的，但很难理清。

   CDN可以帮你隐藏域名和IP，CDN藐视一切DDoS攻击，若需要帮助请咨询云盾

   本文转载于http://www.ddosgf.com  云盾

  本文关键词CDN    DDOS防御     DDOS攻击