美国服务器流量清洗的技术介绍
美国服务器的流量清洗指的是在全部的网络流量中区分出正常流量和恶意流量,然后把恶意流量进行阻断和丢弃,将正常的流量交付给美国服务器,今天美联科技小编就来讲讲美国服务器流量清洗的那些技术。
与其他的网络安全检测和防护手段类似,流量清洗也需要考虑漏报率和误报率的问题。通常,漏报率和误报率需要通过对检测和防护规则的调整来进行平衡。如果流量清洗的漏报率太高,就会有大量的攻击请求穿透流量清洗设备,如果无法有效地减少攻击流量,也就达不到减轻服务器压力的效。相反,如果误报率太高,就会出现大量的正常请求在清洗过程中被中断,严重影响正常的服务和业务运行。
优质的美国服务器流量清洗设备,能够同时将误报率和漏报率降低到可以接受的程度,这可以在不影响网络或业务系统正常运行的情况下,最大限度地将恶意攻击流量从全部网络流量中去除。要达到这个目的,需要同时使用多种准确而高效的清洗技术。
1、IP信誉检查
IP信誉机制是指为互联网上的IP地址赋予一定的信誉值,那些过去或现在经常被作为儡尸主机发送拉圾邮件或发动拒绝服务攻击的IP地址会被赋予较低的信誉值,说明这些IP地址更有可能成为网络攻击的来源。
当发生分布式拒绝服务攻击时,流量清洗设备会对通过的网络流量进行IP信誉检査,在其内部的IP地址信誉库中查找每一个数据包来源的信誉值,并会优先丢弃信值低的IP地址所发来的数据包或建立的会话连接,以此保证信誉高的IP地址与服务器的正常通信。
2、攻击特征匹配
多数情况下,发动分布式拒绝服务攻击需要借助攻击工具。为了提高发送请求的效率,攻击工具发出的数据包通常是由编写者伪造并固化到工具当中的,而不是在交互过程中产生的,因此攻击工具所发出的数据包载荷会具有一些特征。
流量清洗设备可以将这些数据包载荷中的特征作为指纹,来识别工具发出的攻击流量。指纹识别可以分为静态指纹识别和动态指纹识别两种,静态指纹识别是指预先将多种攻击工具的指纹特征保存在流量清洗设备内部,设备将经过的网络数据包与内部的特征库进行比对,直接丢奔符合特征的数据包;动态指纹识别则需要清洗设备对流过的网络数据包进行学习,在学习到若千个数据包的载荷部分之后,将其指纹特征记录下来,后中这些指纹特征的数据包会被丢弃,而长期不被命中的指纹特征会逐渐老化直至消失。
3、速度检查与限制
一些攻击方法在数据包载荷上可能并不存在明显的特征,没有办法进行攻击特征匹配,但却在请求数据包发送的频率和速度上有着明显的异常。这些攻击方法可以通过速度检查与限制来进行清洗。此外,对于UDP洪水攻击等一些没有明显特征、仅通过大流量进行攻击的方法,可以通过限制流速的方式对其进行缓解。
4、TCP代理和验证
SYN洪水攻击等攻击方式都是利用TCP协议的弱点,使其无法创建新的连接而达到拒绝服务攻击的目的。流量清先设备可以通过TCP代理和验证的方法来缓解这种攻击造成的危害。在一个 TCP SYN请求到达流量清洗设备后,设备并不将它交给后面的服务器,而是直接回复一个SYN+ACK响应,并等待客户端回复。
如果SYN请求来自合法的用户,那么会对SYN+ACK进行响应,这时流量清洗设备会代替用户与其保护的服务器建立起TCP连接,并将这个连接加入信任列表当中。之后,合法的用户和美国服务器之间就可以透过流量清洗设备,进行正常数据通信。
而如果这个SYN请求来自攻击者,那么攻击者通常不会对SYN+ACK进行应答,从而形成半开连接。这样流量清洗设备会暂时保留这个半开连接,并在经过短暂的超时时间之后丢弃这个连接。
关注美联科技,了解更多IDC资讯!
上一篇: 美国DNS服务器的匿名性和反向查询限制