美国服务器流量清洗的技术有:1、IP信誉检查技术,是对通过的网络流量进行IP信誉检査,以保证信誉高的IP地址与服务器的正常通信;2、攻击特征匹配技术,是将数据包载荷中的特征作为指纹,来识别工具发出的攻击流量;3、速度检査与限制技术,主要清洗请求数据包发送的频率和速度上的异常;4、TCP代理和验证技术,主要是代替用户与其保护的服务器建立TCP连接,并将这个连接加入信任列表当中。
具体内容如下:
1、IP信誉检查
IP信誉机制是指为互联网上的IP地址赋予一定的信誉值,那些过去或现在经常被作为儡尸主机发送拉圾邮件或发动拒绝服务攻击的IP地址会被赋予较低的信誉值,说明这些IP地址更有可能成为网络攻击的来源。
当发生分布式拒绝服务攻击时,流量清洗设备会对通过的网络流量进行IP信誉检査,在其内部的IP地址信誉库中查找每一个数据包来源的信誉值,并会优先丢弃信值低的IP地址所发来的数据包或建立的会话连接,以此保证信誉高的IP地址与服务器的正常通信。
2、攻击特征匹配
多数情况下,发动分布式拒绝服务攻击需要借助攻击工具。为了提高发送请求的效率,攻击工具发出的数据包通常是由编写者伪造并固化到工具当中的,而不是在交互过程中产生的,因此攻击工具所发出的数据包载荷会具有一些特征。
流量清洗设备可以将这些数据包载荷中的特征作为指纹,来识别工具发出的攻击流量。指纹识别可以分为静态指纹识别和动态指纹识别两种,静态指纹识别是指预先将多种攻击工具的指纹特征保存在流量清洗设备内部,设备将经过的网络数据包与内部的特征库进行比对,直接丢奔符合特征的数据包;动态指纹识别则需要清洗设备对流过的网络数据包进行学习,在学习到若千个数据包的载荷部分之后,将其指纹特征记录下来,后中这些指纹特征的数据包会被丢弃,而长期不被命中的指纹特征会逐渐老化直至消失。
3、速度检査与限制
一些攻击方法在数据包载荷上可能并不存在明显的特征,没有办法进行攻击特征匹配,但却在请求数据包发送的频率和速度上有着明显的异常。这些攻击方法可以通过速度检查与限制来进行清洗。此外,对于UDP洪水攻击等一些没有明显特征、仅通过大流量进行攻击的方法,可以通过限制流速的方式对其进行缓解。
4、TCP代理和验证
SYN洪水攻击等攻击方式都是利用TCP协议的弱点,使其无法创建新的连接而达到拒绝服务攻击的目的。流量清先设备可以通过TCP代理和验证的方法来缓解这种攻击造成的危害。在一个 TCP SYN请求到达流量清洗设备后,设备并不将它交给后面的服务器,而是直接回复一个SYN+ACK响应,并等待客户端回复。
如果SYN请求来自合法的用户,那么会对SYN+ACK进行响应,这时流量清洗设备会代替用户与其保护的服务器建立起TCP连接,并将这个连接加入信任列表当中。之后,合法的用户和美国服务器之间就可以透过流量清洗设备,进行正常数据通信。而如果这个SYN请求来自攻击者,那么攻击者通常不会对SYN+ACK进行应答,从而形成半开连接。这样流量清洗设备会暂时保留这个半开连接,并在经过短暂的超时时间之后丢弃这个连接。
