DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

高防IP_云防御服务器_免费测试

高防IP_云防御服务器_免费测试

您的防火墙和IP可以阻止DDoS攻击吗?这个问题是我们在Radware经常听到的问题,他们担心的是,当网络受到攻击时,有状态的设备(防火墙、IDS/ip和负载平衡器)可能成为网络中的故障点。根据我们对过去一年分析的不同攻击的研究,大约三分之一的攻击失败归因于有状态的设备被放置在面向web的资源前面。换句话说,我们部署在数据中心以保持正常运行时间的设备有时是网络受到攻击时失败的具体原因。我最近与一位客户合作,他正在解决这个问题。他们从一家知名的知名供应商那里购买了好的防火墙,并将其部署在一个高可用性(HA)架构中。防火墙配置正确、加固、部署在HA中—这一切都是您期望的出色部署。然而,似乎每次受到攻击时,这些昂贵的防火墙就会倒塌,即使是在相对较小的攻击量下,如何做好ddos的防御,这些服务也会失败,而这些攻击不会使他们的互联网容量饱和。有状态是其中一个原因。有状态防火墙专门负责跟踪网络中的开放事务。跟踪该状态需要防火墙上有限的计算资源,最终,当推送时,这些资源会被消耗。个人性能可能会因许多因素(CPU、RAM、安全性)而变化功能和策略,甚至启用IPv6),但风险是相同的-在有状态的设备中消耗资源最终会导致它失败。失败是什么样子的?在上面的例子中,最明显的症状是客户无法访问他们的服务器,高防cdn推荐,但是当我们查看防火墙时,我们发现了其他症状,防御系统,如设备管理不稳定,VPN断开,甚至HA故障转移。在实验室中,我们可以捕捉到DDoS攻击对防火墙的真实影响。设置让我们深入研究一下。我建立了一个实验室来测试小型TCP-SYN flood对现代防火墙的影响。这个特定的防火墙有两个CPU内核;一个用于控制平面功能,如CLI、SSH管理、SNMP等,sdkddos节点防御,另一个用于安全相关的功能,如会话设置、防火墙、IDS、NAT,当我们设置VPN的安全性时,我们会看到什么是很重要的。这次攻击大约是来自多个随机欺骗源的约280 Mbps的TCP-SYN flood。280 Mbps现在不是一个很大的攻击,如果你查看你的互联网流量图,它甚至可能没有足够的流量显示出来。尽管如此,防火墙必须处理大量的新连接。以下是从面向防火墙WAN端口的交换机(入站到防火墙)看的情况:攻击大约在18:35开始,持续了大约两个小时。现在让我们看看对防火墙的影响。这张图显示了攻击期间的CPU利用率。红线是控制CPU,绿线是安全CPU:结果我们在这里可以看到的是,在这次攻击中,这个防火墙上的安全CPU被100%地用于大多数攻击。记住,这个特定的CPU负责防火墙处理的所有安全功能。此攻击对穿越防火墙的流量会产生严重的影响,从延迟和超时到VPN会话减少。当CPU利用率达到100%时,防火墙将耗尽,并且在不影响服务的情况下无法执行其功能。防火墙上的SYN Flood Protection可能没有帮助!我们通常不会通过防火墙来阻止SYN的攻击,而是通过防火墙来保护它。还有其他的选择吗?人们首先想到的是"我需要一个更大的防火墙"。现在有很多大的防火墙,确实可以通过向防火墙层添加资源(更多的处理、更大的防火墙等)来推动这一点。但是,我建议,如果DDoS保护是一个问题,向有状态的外围设备添加更多资源只会延迟问题的发生。用于生成这些攻击的服务器也比以往任何时候都强大。数据中心中有10 Gbps NIC的受攻击服务器可能会对目标的有状态设备造成严重损害。在Radware,我们以不同的方式解决这个问题。我们的DDoS防御解决方案DefensePro不是有状态的,可以在这些威胁消耗防火墙或其他有状态设备之前评估和减轻这些威胁。通过在攻击流量到达有状态设备之前插入专门构建的DDoS缓解设备,您可以消除连接耗尽的威胁和其他风险。结论作为安全人员,很难找到任何人来挑战防火墙的重要性。防火墙是当今网络中的关键设备。但是,我想你会发现,人们会建议小心防火墙的位置和用途。基于以上原因,许多DDoS安全专家会建议不要在任何需要保持正常运行时间的面向web的资源前部署有状态防火墙。每个网络都是不同的,但是如果正常运行时间对您的网络很重要,您应该有一个处理攻击的计划,15m宽带能防御ddos吗,并且应该知道现有体系结构的限制。这不需要太多时间影响一个有状态的设备,这就是为什么专门构建的DDoS缓解设备正在成为当今网络的必要组成部分。下载Radware的DDoS手册,获取专家建议、可操作的工具和提示,以帮助检测和阻止DDoS攻击。立即下载{"@context":","@type":"博客发布","headline":"DDoS攻击期间防火墙为什么会失败","页面维护":{"@type":"网页","@id":https://blog.radware.com/security/2015/11/why-your-firewall-could-fail-during-a-ddos-attack/"},"author":"罗恩·温沃德","图像":{"@type":"ImageObject","url":https://blog.radware.com/wp-content/uploads/2015/11/firewall.jpg","高":960,"宽度":1920},"datePublished":"2015-11-30","dateModified":"2015-11-30","发布者":{"@type":"组织","name":"Radware","logo":{"@type":"ImageObject","url":https://blog.radware.com/wp-content/uploads/2017/08/blog_logo_schema.png","高":60,"宽度":155}}}

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/50442.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6824915访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X