【流量|流量清洗是DDoS终极防范手段么概要】1、流量清洗是防范 DDoS 攻击的终极手段么？1、 DDoS 攻击是目前最流行的攻 击方式：随着网络的发展 ， 终端用户的带宽日益增大 ， 各类重要应用和业务逐渐被移植到网络中 ， 因此相应的各类网络安全问题也不断出现 ， 网络和应用系统因此受到了极大的威胁 。
纵观各类网络安全问题 ， 网络攻击是最具有危害性的 ， 逐 渐出现了伴随着网 络攻击而形成了所 谓的 “黑客 经济 ” ， 病毒、蠕虫、木马、入侵、钓鱼 等形形色色的网 络攻击手段层出不穷 ， 攻击者不断追求通 过网络攻击而获取的经济利益 ， 而也恰恰正是由于这种趋利性 ， 攻击者也在寻求门槛更低、更经济、更有效的攻击 手段 ， 无疑 DDoS （分布式拒绝服务攻击）成为了这部分攻击 。

2、者的首选方式 。
DDoS攻击就是攻击者使用互 联网上成千上万的已被入侵和控制的主机（称之 为：僵尸主机）向目标主机发送大量数据包 ， 导致对方拒绝服务的攻击方式 。
DDOS 的表现形式主要有两种：?一种为带宽消耗型攻 击 ， 主要是针对目标接入带宽的攻击 ， 即大量攻击包导致目标接入的网 络带宽被阻塞 ， 合法网络包被虚假的攻 击包淹没而无法到达主机 。
例如我们常常看到的 UDPFlood 攻击 ， 因为 UDP 数据包是没有状 态的 ， 被攻击者只能够被动的接收大量的 UD P 包 ， 而无法进行验证 ， 从而很容易受到带宽消耗的攻击 。
假设 每个 UDP 数据包的大小是 64 字节 ， 那么 1G 的带宽最多可以容 纳 140 万 。

3、左右的 PPS ， 如果攻击者有 1000 台僵尸机的 话 ， 每台机器只要发出 1400PPS就可以阻塞 1G 的物理带宽 ， 而其他正常的流量就会没有 带宽资源而无法到达目 标服务器 ， 从而导致拒绝服务 。
?另一种为资源消耗型攻 击 ， 主要是针对目标服务器主机或者网 络设备的攻击 。
即通过发送大量的正常 访问数据包导致服务器超出服务能力而无法提供服 务 ， 此类攻击无需海量数据包即可达到效果 ，资源消耗型攻 击正在成为 DDoS 攻击的主流例如目前比 较流行的针对 WEB 站点的应用层的 HTTP Flood 攻击 ， 假设一个 Web 站点设计的用户容量为 5000 新建连接（已经算是一个地方政府的 门户网站的容量 。

4、了） ， 如果攻击者拥有 500 台僵尸机 ， 每台机器只要 进行 10 个攻击连接就可以达到 这个站点的上限 ， 此时正常的访问因为超出了网站 设计值而无法打开 页面 ， 导致了 WEB 网站的拒 绝服务 。
而此时总体 PPS也就 20000 左右 ， 流量也就 15M 左右 ， 我们可以看到的情况是流量不大 ， 但是服 务器资源被耗尽 ， 网站打不开 。
而如果这种攻击方式不简单的去获取页面 ， 而是同时去下载某一个大文件时 ， 也有可能导致上行带宽被阻塞掉 ， 服务器因为没有足够的上行带宽去响应用户请求而导致拒绝服务 ， 我们可以看到的情况就是攻 击流量很小 ， 但是出口流量很大 ， 网站打不开 。
2、流量清洗无法解决所有的DDoS 攻击：为了解决。

5、DDoS 攻击的威胁 ， 目前很多运营商在其骨干网 络部署了流量清洗中心 ， 将所有怀疑存在 DDoS 攻击数据包的流量通 过路由的方式 导入到流量清洗中心 ， 由清洗设备对所有攻击流量进行过滤 ， 再将过滤后的正常 应用数据注回到原有路径中 。
粗看这种方式能够很好的过滤 DDoS 攻击 ， 保证业务和应用的顺畅运行 ， 运营商们也由此高枕无 忧 ， 似乎从此 DDoS 永远消失 ， 不再为患 。
那么实际 上这种流量清洗方式是不是真的是 DDoS 攻击的终极解决方案呢？我 们从以下三个方面来 讨论这看上去很美的流量清洗方案：（1）从流量清洗的运行方式角度：运营商一般在骨干网 层面部署 “流量清洗中心 ”模式 ， 在该 模式下 ， 运营商 。

6、集中部署安全清洗 设备、利用 NetFlow 采集数据信息并 传递给 Detector 设备、 Detector 设备检查安全状态并根据安全状 态通知中央安全清洗 设备、中央安全清洗设备 向骨干路由设备动态注入策略路由将可能存在安全 问题的数据流 导向中央安全清洗 设备、中央安全清洗 设备将问题数据流进行清洗并返回 给骨干路由设备来实现安全防范 。
从上面的解决方案可以看出 ， 骨干网的安全解决方案是依据 NetFlow 数据信息进行安全判断的 ， 而 NetFlow 数据格式不能提供精 细的 L4-L7 层信息 ， 只能够针对是否存在超出 预设阀值 的大流量的网 络层 DoS/DDoS 攻击作出判断 。

稿源：(未知)

【傻大方】网址：/a/2021/0816/0023744960.html

标题：流量|流量清洗是DDoS终极防范手段么概要