美國(guó)服務(wù)器的流量清洗指的是在全部的網(wǎng)絡(luò)流量中區(qū)分出正常流量和惡意流量，然后把惡意流量進(jìn)行阻斷和丟棄，將正常的流量交付給美國(guó)服務(wù)器，今天美聯(lián)科技小編就來(lái)講講美國(guó)服務(wù)器流量清洗的那些技術(shù)。

與其他的網(wǎng)絡(luò)安全檢測(cè)和防護(hù)手段類似，流量清洗也需要考慮漏報(bào)率和誤報(bào)率的問(wèn)題。通常，漏報(bào)率和誤報(bào)率需要通過(guò)對(duì)檢測(cè)和防護(hù)規(guī)則的調(diào)整來(lái)進(jìn)行平衡。如果流量清洗的漏報(bào)率太高，就會(huì)有大量的攻擊請(qǐng)求穿透流量清洗設(shè)備，如果無(wú)法有效地減少攻擊流量，也就達(dá)不到減輕服務(wù)器壓力的效。相反，如果誤報(bào)率太高，就會(huì)出現(xiàn)大量的正常請(qǐng)求在清洗過(guò)程中被中斷，嚴(yán)重影響正常的服務(wù)和業(yè)務(wù)運(yùn)行。

優(yōu)質(zhì)的美國(guó)服務(wù)器流量清洗設(shè)備，能夠同時(shí)將誤報(bào)率和漏報(bào)率降低到可以接受的程度，這可以在不影響網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)正常運(yùn)行的情況下，最大限度地將惡意攻擊流量從全部網(wǎng)絡(luò)流量中去除。要達(dá)到這個(gè)目的，需要同時(shí)使用多種準(zhǔn)確而高效的清洗技術(shù)。

1、IP信譽(yù)檢查

IP信譽(yù)機(jī)制是指為互聯(lián)網(wǎng)上的IP地址賦予一定的信譽(yù)值，那些過(guò)去或現(xiàn)在經(jīng)常被作為儡尸主機(jī)發(fā)送拉圾郵件或發(fā)動(dòng)拒絕服務(wù)攻擊的IP地址會(huì)被賦予較低的信譽(yù)值，說(shuō)明這些IP地址更有可能成為網(wǎng)絡(luò)攻擊的來(lái)源。

當(dāng)發(fā)生分布式拒絕服務(wù)攻擊時(shí)，流量清洗設(shè)備會(huì)對(duì)通過(guò)的網(wǎng)絡(luò)流量進(jìn)行IP信譽(yù)檢査，在其內(nèi)部的IP地址信譽(yù)庫(kù)中查找每一個(gè)數(shù)據(jù)包來(lái)源的信譽(yù)值，并會(huì)優(yōu)先丟棄信值低的IP地址所發(fā)來(lái)的數(shù)據(jù)包或建立的會(huì)話連接，以此保證信譽(yù)高的IP地址與服務(wù)器的正常通信。

2、攻擊特征匹配

多數(shù)情況下，發(fā)動(dòng)分布式拒絕服務(wù)攻擊需要借助攻擊工具。為了提高發(fā)送請(qǐng)求的效率，攻擊工具發(fā)出的數(shù)據(jù)包通常是由編寫者偽造并固化到工具當(dāng)中的，而不是在交互過(guò)程中產(chǎn)生的，因此攻擊工具所發(fā)出的數(shù)據(jù)包載荷會(huì)具有一些特征。

流量清洗設(shè)備可以將這些數(shù)據(jù)包載荷中的特征作為指紋，來(lái)識(shí)別工具發(fā)出的攻擊流量。指紋識(shí)別可以分為靜態(tài)指紋識(shí)別和動(dòng)態(tài)指紋識(shí)別兩種，靜態(tài)指紋識(shí)別是指預(yù)先將多種攻擊工具的指紋特征保存在流量清洗設(shè)備內(nèi)部，設(shè)備將經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包與內(nèi)部的特征庫(kù)進(jìn)行比對(duì)，直接丟奔符合特征的數(shù)據(jù)包；動(dòng)態(tài)指紋識(shí)別則需要清洗設(shè)備對(duì)流過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行學(xué)習(xí)，在學(xué)習(xí)到若千個(gè)數(shù)據(jù)包的載荷部分之后，將其指紋特征記錄下來(lái)，后中這些指紋特征的數(shù)據(jù)包會(huì)被丟棄，而長(zhǎng)期不被命中的指紋特征會(huì)逐漸老化直至消失。

3、速度檢查與限制

一些攻擊方法在數(shù)據(jù)包載荷上可能并不存在明顯的特征，沒(méi)有辦法進(jìn)行攻擊特征匹配，但卻在請(qǐng)求數(shù)據(jù)包發(fā)送的頻率和速度上有著明顯的異常。這些攻擊方法可以通過(guò)速度檢查與限制來(lái)進(jìn)行清洗。此外，對(duì)于UDP洪水攻擊等一些沒(méi)有明顯特征、僅通過(guò)大流量進(jìn)行攻擊的方法，可以通過(guò)限制流速的方式對(duì)其進(jìn)行緩解。

4、TCP代理和驗(yàn)證

SYN洪水攻擊等攻擊方式都是利用TCP協(xié)議的弱點(diǎn)，使其無(wú)法創(chuàng)建新的連接而達(dá)到拒絕服務(wù)攻擊的目的。流量清先設(shè)備可以通過(guò)TCP代理和驗(yàn)證的方法來(lái)緩解這種攻擊造成的危害。在一個(gè) TCP SYN請(qǐng)求到達(dá)流量清洗設(shè)備后，設(shè)備并不將它交給后面的服務(wù)器，而是直接回復(fù)一個(gè)SYN+ACK響應(yīng)，并等待客戶端回復(fù)。

如果SYN請(qǐng)求來(lái)自合法的用戶，那么會(huì)對(duì)SYN+ACK進(jìn)行響應(yīng)，這時(shí)流量清洗設(shè)備會(huì)代替用戶與其保護(hù)的服務(wù)器建立起TCP連接，并將這個(gè)連接加入信任列表當(dāng)中。之后，合法的用戶和美國(guó)服務(wù)器之間就可以透過(guò)流量清洗設(shè)備，進(jìn)行正常數(shù)據(jù)通信。

而如果這個(gè)SYN請(qǐng)求來(lái)自攻擊者，那么攻擊者通常不會(huì)對(duì)SYN+ACK進(jìn)行應(yīng)答，從而形成半開(kāi)連接。這樣流量清洗設(shè)備會(huì)暫時(shí)保留這個(gè)半開(kāi)連接，并在經(jīng)過(guò)短暫的超時(shí)時(shí)間之后丟棄這個(gè)連接。

關(guān)注美聯(lián)科技，了解更多IDC資訊！