ddOs防护中的带宽容量重要吗

编辑: admin 分类: 国外服务器 发布时间: 2023-07-08 来源:互联网

  互联网通道在过往10年中变得更加臃肿.大家已经从 1 mbps 链路转向 1 gbps 链路.大多数公司的IDC机房最少有 1 gbps isp 链路.在过往,qos、信息包精简、运用程序优先级等等曾经是一个大问题,但现在大家只是投进更多的带宽容量来解决任何潜在的配置问题.然而,在保护您的基础框架免受 ddos 流量攻击时,1 gbps、10 gbps 甚至 40 gbps 的容量彻底不够.因为在 2019 年,即使是相对较小的 ddos 流量攻击也超过 10gbps,而较大的 ddos 流量攻击大于 100gbps.

  因此,当安全性专精人员制作 ddos 防护解决方案时,核心考虑因素之一是 ddos 防护服务的容量.也就是说,要弄清楚哪个 ddos 防护服务实际上有水平承受的 ddos 流量攻击.让大家来看看一些可用的解决方案,并了解供应商声称的容量与阻止大规模 ddos 流量攻击的实际水平之间的不同.

  一、内部架设 ddos 防护设备

  首先,要警惕任何路由器、交换机或网络防火墙,它也被定位为 ddos 防护设备.它们有可能无法承受超过 10gbps ddos 流量攻击.有少数公司制造专用的 ddos 防护设备.这些设备通常架设在网络边缘,尽可能靠近 isp 链路.这些设备中的许多设备可以防护 10 gbps 的流量攻击,但是,广告的防护容量通常基于一个特定的流量攻击向量,所有流量攻击信息包都具备特定的大小.

  无论供应商如何,您都需要测试设备承受多向量流量攻击的水平,在真实世界中的配置表现以及在给定吞吐量下根据干净流量的水平.防护大规模流量攻击,pps 有时比 bps 更重要,许多设备将首先超过他们的 pps 限制.您还要确保深进研究流量攻击防护设备的内部,特别是如果在传递正常流量时使用相同的 cpu 来防护流量攻击.最很好地的设备将流量攻击流量与正常流量隔离开来,从而确保流量攻击防护而不影响正常流量.

  最后,请记住,如果您的 isp 链路容量为 1 gbps,而且您有一个能够防护 10gbps 的 ddos 防护设备,则不会受到 10gbps 流量攻击的保护.这是因为即使在内部架设设备有机会 “清理” 流量攻击流量之前,流量攻击也会填满您的通道.

  2、基于云的清洗中心

  普遍架设的第2种 ddos 防护解决方案是基于云的清理解决方案,例如巨牛科技高防ip.在这里,您不需要在IDC机房安装 ddos 防护设备.相反,您使用架设在云中的 ddos 防护服务.使用此类解决方案,您可以连续地从IDC机房向云服务发送远测,当出现与 ddos 流量攻击相对应的峰值时,您会将流量 “迁移” 到云服务.

  有一些供应商只是添加他们在所有IDC机房有着的所有 isp 链路的净容量.这是误导性的,因为他们可能会将正常的每日清洁流量添加到广告容量中.因此,请询问他们排除正常的清洁流量以后可用的流量攻击防护容量.

  有一些供应商提供这种种类的解决方案,但同样,在涉及云 ddos 服务的容量时,魔鬼就是细节.一些供应商只是添加他们在所有IDC机房有着的所有 isp 链路的 “净” 容量.这是误导性的,因为他们可能会将正常的每日清洁流量添加到广告容量中 - 因此请询问可用的流量攻击防护容量,排除正常的清洁流量.

  此外,供应商可能在不同的清洗中心具备不同的容量,而且所有清洗中心的净容量可能无法很好地反映您关注的IDC机房所在地的清洗中心流量攻击防护水平.最后,重要的是 ddos 防护提供商为清洁流量提供彻底独立的信息路径,而且不会将干净的客户流量与流量攻击流量混合在一起.

  1、内容分发网络

  第1种种类的 ddos 防护框架基于利用内容分发网络(cdn)来扩散大型 ddos 流量攻击.然而,当涉及到 cdn 的 ddos 防护水平时,情况再次变得模糊.

  大多数 cdn 在全球范围内内分布有 10s、100s 或 1000s 的 pop.许多人只是数据处理所有这些 pop 的净总容量,并将其作为总流量攻击防护水平开展宣传.这有两个主要缺陷.真实世界的 ddos 流量攻击很可能来自有限数量的地理位置,在这种情况下,真正重要的容量是本地 cdn pop 容量,而不是所有 pop 的全球容量.

  其次,大多数 cdn 在所有 cdn 节点上都传递了大量正常的客户流量,因此如果 cdn 服务声称其流量攻击防护容量为 40tbps,则可能计进正常流量的 30tbps.您需要确定的是,未使用的总容量是多少,无论是净总量水平还是地理区域内.

  4、巨牛科技香港高防服务器

  知名香港IDC机房、香港服务器租赁服务商巨牛科技,推出的香港高防服务器,成为越来越多公司级外贸电子商务客户的优先挑选.其香港高防服务器,是指客户租赁一台具备 ddos 流量攻击防护水平的香港服务器,无需备案,快速上线.其香港高防服务器基于先进的流量攻击人工智能检测处理平台,可在 5 min内快速识别多达 25 种以上的 ddos 变种流量攻击、cc 流量攻击及其任意组合,并秒级触发清洗机制,很好地防护水平高达 310gbps.且兼容压力测试和防护无效退款承诺.如果你的网站没有备案需求,且面临 ddos 威胁,建议参考巨牛科技高防服务器,或者其即将推出的高防 ip 服务.

  5、基于 isp 提供商的 ddos 防护

  许多 isp 提供商提供 ddos 防护作为 isp 通道的附加服务.这听起来是一个自然的挑选,因为他们能够监控到所有流量,甚至在这些流量未到达您的服务器之前.所以在 isp 的IDC机房内阻止流量攻击.对吧?遗憾的是,大多数 isp 在其自己的基础框架中架设了半适当的 ddos 防护,并可能将流量攻击流量传递到您的服务器中.事实上,在某些情况下,某些 isp 实际上可能会在您受到流量攻击时屏蔽停您的 ip,以保护其他与您共享网络资源的客户不受流量攻击连带影响.询问您的 isp 服务商,如果他们发现 500gbps 流量攻击发生在您的服务器上,会发生什么.

  上面讨论的所有 ddos 防护解决方案都是很好地的而且被普遍架设.但是,您应该从服务提供者那里获取其真实的流量攻击防护水平数据.依据本地容量、清除和流量攻击流量之间的差别,任何流量攻击上限和任何 sla 来测试您的提供商.最终挑选一家靠谱的 ddos 防护服务来为您的在线业务服务保驾护航.