C、接入网安全防范特点DDoS 攻击的 。

13、防护 ， 其终极目标是对业务系统或者应用系统的防护 ， 保证这些系统能够正常、顺畅 的为用户提供服务 ， 而接入网络是业务系统或者应用系统提供服务的第一道 门户 ， 其有不同其他网络的的防护特点：（1）业务特征更加明确 。
接入网络 后端直连着用户的应用系统 ， 在这个层面上 ， 能够第一时间发现用户业务的特征 ， 并出现针对此类业务的 DDoS 攻击 ， 例如出现对门户网站的 HTTPFlood 攻击 ， 因此要求对接入网络的防范要能 够精确的判断 业务的类别 ， 并针对不同业务进行防范 。
（2）防护要求更多 ， 防护粒度更细 。
由于业务 系统是提供服务的基点 ， 而且远比基础网络要脆弱 ， 所以对业务系统的防范要求也 远远不止对海量网络层 DDoS 。

14、 的防护 ， 而是要防护针对业务 系统的应用层 DDoS 攻击、对业务 系统应用的入侵、对业务系统蠕虫的感染等等多方面的安全威 胁 。
并且实现对这 些安全威胁的细粒度防范 。
（3）防护精度更高 。
业务 系统是 DDoS 保护的目标 ， 一方面要实现对业务 系统的 DDo S 威胁的防范 ， 另一方面不能因 为 DDoS 防范设备的误报而导致业务系统的中断 ， 因此要求 DDoS 防范设备能够实时精确了解业务系统的运行状况 ， 第一时间对 DDo S 攻击等安全威 胁作出精确响 应 。
基于以上特点 ， 我们可以看到基于 NetFlow 的流量清洗中心方案只能 够粗略的对网络 DDoS 进行无虑 ， 无法细致分别各类不同业务特点 ， 无 。

15、法精确了解业务系统运行情况、也无法对应 用层的 DDoS 攻击或者其他威 胁做出第一时间的响应 ， 因此流量清洗中心的方案完全不适合在 这个层次为业务系统提供保护 。
从上面的分析 ， 我们可以看到 ， 流量清洗解决方案只能 够在一定层面上（运营商骨干网络）上解决少部分 DDoS 攻击（基于海量数据包的网络层 DDoS）攻击 。
那么保护应用系统和业务系统 ， 解决 DDoS 攻击带来的危害 ， 到底什么样的解决方案才是合适的、完备 的呢？下面将 进行分析 。
3、解决 DDoS 攻击的原则：A 、目标明确 。
我们 需要建立的防范 DDoS 解决方案一定要 针对 DDoS 攻击发展的特点 ， 必须了解目前或者将来最 为流行的 DD 。

16、oS 攻击方式 ， 进行目标明确的防范 。
原始的基于海量数据包的网 络层 DDoS 攻击方式正在被慢慢抛弃 ，针对特定业务的应用层 DDoS 攻击方兴未艾 ， 因此DDoS 防范系统必须具有强大的应用层 DDoS 攻击防范能力 。
B、业务为重 。
防范 DDoS 攻击就是为了保护业务 ， 业务系统的多样化导致了对 DDoS 防范的不确定性 ， 因此必 须要求 DDoS 防范系统能够具有对业务运行的监控和判断能力 ， 实时发现 偏离业务的应用层 DDoS 攻击 ， 并作出快速响应 。
C、多功能组合 。
DDoS 攻击往往伴随着网 络扫描、蠕虫传播、应 用入侵等其他安全威胁而产生 ， 因此对 DDoS 的攻击防范必须能够对其他相伴生的安全威 胁具有一定的防范能力 ， 多功能的 组合才能够很好的实现对 DDoS 攻击的防范 。
挂一漏万的 “木桶原理 ”始终 成为防范 DDoS 不利的终极原因 。
D、多层次配合 。
DDoS 攻击来源于网络中的大量僵尸主机 ， 其攻 击路线可能从接入网络到达城域网并 经过骨干网一直到目 标系统 ， 因此对 DDoS 的攻击必须在各个层次上都进行防范 ， 除了在骨干网部署旁路的流量清洗方案解决海量网 络层 DDoS 攻击之外 ， 更重要的是在城域网 层次和接入网 层次部署更 为精确的 DDoS 防范方案 ， 实现对业务 系统和应用系统的精细化 DDoS 攻击保护 。

稿源：(未知)

【傻大方】网址：/a/2021/0816/0023744960.html

标题：流量|流量清洗是DDoS终极防范手段么概要( 三 )