ddos防御技術(shù)有哪些

這篇文章主要介紹了ddos防御技術(shù)有哪些，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

ddos***簡(jiǎn)單防御總結(jié)：

NUM.1   利用ios的經(jīng)典特性：ip tcp intercept

這個(gè)特性可以在網(wǎng)絡(luò)邊界路由器上開(kāi)啟，它的原理是代替server完成三次握手。如果***者沒(méi)有完成三次握手，router將不會(huì)使其與服務(wù)器通信，正常用戶與router完成三次握手后，router也會(huì)偽裝成用戶和server進(jìn)行三次握手，而后將正?；卦捊唤o服務(wù)器。

ip tcp intercept 有主動(dòng)和被動(dòng)兩種模式，默認(rèn)主動(dòng)模式，被動(dòng)模式要求在XX秒內(nèi)建立完整鏈接，否則T掉！

NUM.2 攔截RFC1918

一般ddos***的地址都是偽造的私網(wǎng)地址，我們可以在路由器上啟用ACL攔截源為RFC1918的地址。

NUM.3 unicast RFC

當(dāng)一個(gè)路由器的多個(gè)接口鏈接多個(gè)網(wǎng)段時(shí)可以配置unicast RFC ，使其每個(gè)接口只能接收源地址是本接口鏈接網(wǎng)段的數(shù)據(jù)包，丟棄不能夠通過(guò)ip源地址檢測(cè)的包。

NUM.4 配置IOS狀態(tài)監(jiān)控包過(guò)濾防火墻（1.CBAC技術(shù) 2.zoned-based技術(shù)）

一個(gè)很老的ios防火墻技術(shù)。cbac技術(shù)基于接口，先deny ip any any ，禁止互聯(lián)網(wǎng)對(duì)內(nèi)網(wǎng)的訪問(wèn)，在全局下寫(xiě)監(jiān)控策略，例如 ip inspect name CBAC telnet 就是對(duì)telnet的流量做監(jiān)控，之后將策略運(yùn)用于接口的出或如方向。之后telnet就可以通了，用命令：“show ip inspect session”可以查看路由器上的狀態(tài)化信息表，狀態(tài)化信息表包括源目地址及端口號(hào)，今后的數(shù)據(jù)包通信優(yōu)先查看狀態(tài)化表項(xiàng)，如果狀態(tài)化表項(xiàng)有條目就可直接通信，不會(huì)詢問(wèn)ACL。

cbac技術(shù)也有缺點(diǎn)，因?yàn)樗腔诮涌?，所以?huì)影響到DMZ的流量。解釋下，在入進(jìn)口配cbac的時(shí)候不能區(qū)別到dmz和到內(nèi)網(wǎng)的流量，例如，不可能配置外網(wǎng)到DMZ監(jiān)控http，外網(wǎng)到內(nèi)網(wǎng)監(jiān)控telnet。

zoned-based技術(shù)zone是一系列接口的集合。

特點(diǎn)1：策略運(yùn)用于zone間特定的流量，而不是接口。

特點(diǎn)2：可以配置基于特定主機(jī)和子網(wǎng)的策略。

特點(diǎn)3：默認(rèn)策略deny所有zone間的流量。

特點(diǎn)4：提供非常非常強(qiáng)大的DPI（深度包監(jiān)控）功能。例如限制郵件的長(zhǎng)度，url字段等，可以限制的非常細(xì)，比ASA還變態(tài)！

特點(diǎn)5：相對(duì)于cbac提供了更好的性能。

缺點(diǎn)是配置起來(lái)很費(fèi)勁，zone越多越麻煩，因?yàn)槊總€(gè)zone都要和其他zone有策略，非常蛋疼。

以上都是通過(guò)ios特性來(lái)低于ios，有些不靠譜，特別是ip tcp intercept 技術(shù)，一兩千個(gè)包還能忙的過(guò)來(lái)，在成G成G的***流量下，router早就魂飛魄散拉~

經(jīng)過(guò)查閱發(fā)現(xiàn)，大型IT企業(yè)，銀行一般都用用guard + dectecor的方式來(lái)部署自己的清洗中心。

下面是全網(wǎng)ddos清洗中心部署方式：

這里我簡(jiǎn)單總結(jié)了下流量牽引技術(shù)：

流量清洗中心利用IBGP或者EBGP協(xié)議

首先和城域網(wǎng)中用戶流量路徑上的多個(gè)核心設(shè)備直連或者非直連均可建立BGP Peer

1.當(dāng)發(fā)生ddos***時(shí)，路由器鏡像口的ids就會(huì)發(fā)現(xiàn)***，之后通知告警給清洗中心（好多臺(tái)guard）

2.流量清洗中心通過(guò)BGP協(xié)議會(huì)向核心路由發(fā)布BGP更新路由通告更新核心路由上的路由表將流經(jīng)所有核心設(shè)備上的流量動(dòng)態(tài)的牽引到流量清洗中心進(jìn)行清洗

3.流量清洗中心發(fā)布的BGP路由添加no-advertise屬性（當(dāng)一臺(tái)路由器,收到一個(gè)bgp的路由帶有no-export屬性是這臺(tái)路由器就不會(huì)再向EBGP對(duì)等體及IBGP對(duì)等體發(fā)送該路由）確保清洗中心發(fā)布的路由不會(huì)被擴(kuò)散到城域網(wǎng)同時(shí)在流量清洗中心上通過(guò)路由策略不接收核心路由器發(fā)布的路由更新從而嚴(yán)格控制對(duì)其他網(wǎng)絡(luò)造成的影響當(dāng)然，清洗完后正常的流量通過(guò)清洗中心流入目的服務(wù)器。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“ddos防御技術(shù)有哪些”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!