什么是基于行为分析的ddOs缓解技术

编辑: admin 分类: 国外服务器 发布时间: 2023-07-12 来源:互联网

  无论大家挑选香港服务器还是云服务器还承载业务服务,都必然绕不开ddos的威胁.大家知道,典型的互联网安全性设备预先包装了签名和规则,可以帮助识别简单的流量攻击.这在许多情况下是很好地的,但是没有区分流量攻击流量和正在浏览网站的合法客户.基于签名的方法往往不能满足防护ddos攻击的威胁.

  关于ddos防护,首先在于流量攻击检测和识别.例如巨牛科技香港高防服务器,已集成完善的流量攻击全自动化检测与处理系统,兼容ddos/syn/udp/ack/icmp/dns/ntp/cc等各类流量攻击的精准检测,并全自动转换高防链路完成保护.近日,美国fortiddos公司使用100%基于启发式/行为的检测方法可能为大家带来不同的思路.尽管基于行为的缓解措施具备某些无法避免的缺陷,但值得仔细研究.让大家仔细看看基于行为的ddos缓解是什么.


  一、意图与内容

  基于行为分析的ddos检测需要区分:流量攻击者想要根据流量攻击完成什么目的.为保持一定的侦测水平,流量攻击者往往试图将自己隐躲在已知的基于签名的检测方法中.基于行为的方法不非常容易受到攻击者防范.

  例如,大量的/index.html请求到您的网站对一组预定义的规则可能并不奇怪,但是如果这些请求有一个服务器从未见过的卷,那么行为方法就可以认为这是一个潜在的流量攻击.

  以类似的方式,使用诸如slowloris之类的流量攻击建立tcp连接在内容上是合法的,但是只能使用行为技术来识别.



  2、硬编码与自定义

  值得一提的另一个差别是自定义和硬编码规则集之间.您可以告诉您的ddos设备停止包含某些属性的所有流量,例如,防火墙具备允许或拒尽icmp ping的规则策略.行为缓解装置允许您限制每秒ping的数量,因此只有在低于特定速率时才允许ping.这种上下文数据使得流量攻击缓解更加准确.

  另一种硬编码zhengce与费率本身有关,不是行为性的.例如,一个小型的信用社可能有一个平均流量为10mbps的网上银行运用程序.而另一处,有一家大型银行,可能会有10gbps的平均流量.对于较小的信用社,如果流量突然增长到110 mbps,它可以使服务器崩溃,而大型银行的服务器上增加100 mbps只不过是一个小点.因此,有水平清晰地知道多少流量算是流量攻击,多少只是一个小点是行为缓解真正很好地的地方.


  1、总信息量与流量精细化

  您怎么知道您是否遇到了ddos攻击?只是总信息包数还是更多?

  由于运用层流量攻击与网络和传输层流量攻击相整合,粒度指的是能够针对流量攻击的维度.在网络访问中它是否是相同客户代理,或者它是一个特定的url,还是只是分段的信息包,等等?流量攻击缓解系统越细化,越能够将流量切分成准确的维度,从而避免在流量攻击过程中出现误报.


  4、固定与自适应

  互联网业务服务流量从来就不是静态的.任何互联网的流量都有其每日、每周、每月和每年的季节性.由于营销活动等的原因,流量也可能突然激增.自适应系统能够具备及时间调整的行为流量阈值,以便任何剧烈变化被迅猛识别为流量攻击.


[本文首发:https://www.558idc.com/.转载请注明出处!巨牛科技-热销推荐:高防服务器、云服务器、香港服务器、香港服务器、机柜大带宽租赁]

【本文来源:香港服务器租用 http://www.558idc.com/st.html欢迎留下您的宝贵建议】