图3 流量型DDOS攻击案例
如果是CC攻击,很容易把Web服务器或相关数据库服务器打死,特别是有和数据库交互的页面,黑客攻击时会先找到这样的页面,然后发起大并发的HTTP请求,直到耗尽Web服务器性能或数据库性能,无法正常提供服务。如图4为CC攻击示意图,可以看到在一段时间内,同一个Useragent的请求占比很高,有些CC攻击会往固定的几个URL发起攻击,这些URL的请求量会特别高。
图4 CC攻击特征
如果没有效手段阻断攻击DDOS攻击,必将影响公司业务正常开展。
DDOS攻击防护方案
DDOS攻击防护需要依靠DDOS攻击防护系统,如图5所示,为运营商级DDOS攻击防护系统的防护架构图,其防护流程如下。
(1)正常情况流量从运营商骨干网路由器路由到用户机房的路由器上。
(2)DDOS攻击防护系统一般包括检测系统和清洗系统2个部分,检测系统通过网口镜像或分光器镜像流量的分析,判断是否存在DDOS攻击行为,一旦发现则通知清洗服务器,开启防护模式。
(3)清洗系统开启BGP通告,将原来转向用户机房的路由牵引到清洗系统路由器上,这时攻击流量就改变方向流向到清洗服务器上。
(4)清洗服务器将攻击流量清洗,正常业务流量放行。
(5)正常业务流量回注到用户机房,这样就完成了DDOS攻击防护。
