关于SK机房的DDOS防护体系介绍
SK是国外少有的免费提供DDOS防护的机房。SK机房提供免费10G硬件防火墙,7层过滤,13种方完美方法抵抗DDoS攻击;对被攻击的服务器不做关机处理。受到小规模攻击,SK会直接屏蔽攻击,规模较大时会将IP删除路由,攻击结束会自动解封。超大规模的攻击可以联系机房协调处理。下面笔者介绍下SK机房DDOS防护体系。
本站文章全部原创,欢迎大家共同学习转载,烦请珍惜笔者劳动成果,转载注明出自淘主机论坛(http://bbs.taohost.net)
SK机房的网络防护采用的是主动过滤是防御和动态防御。主动防御分为三个阶段(上游ISP、核心路由、分布式路由),动态防御分为两个阶段(分布式路由和防火墙)。SK的NIDS(网络入侵侦查系统)设备俘获入站的流量,侦查并记录恶意的流量,分析之后选择合适的方式和规则来进行过滤,经过3-7层的过滤和防护以后,剩余的流量几乎都是被过滤过的正规流量了。NIDS系统自动记录这些攻击,防护以后将这些报告生成,找出攻击源IP,这些IP会被提交到攻击方上层ISP和反对攻击组织来处理。部分恶意攻击会被诉诸法律。
SK的防火墙有能力提供高达7层的过滤和防护。他们由核心路由(直接连接数据中心的核心路由)和主路由(交换机连接的路由)连接而成。主路由器从NIDS接受过滤规则。防火墙被设计成既可以独立运行,也可以联合运行的模式。默认情况下是联合防护攻击,一旦某个部分出问题,防火墙一样可以单独来防护攻击。如果其中一组防火墙出问题,负载均衡系统会立即将他排除在外,以避免不必要的麻烦。
SK的NIDS系统通过每个数据包的协议和数据包类型以及几个其他的特征来分析和辨别攻击,然后发送相关信息给防火墙,以采取必要的措施。防火墙将采用至少15方法(计划将来增加到20+种)来过滤攻击。
如果出于某种特殊原因,比如攻击过大或者攻击无法过滤,将会使用IP 删除路由的方法来处理。IP被删除路由后,当攻击变小以后会自动开启,如果不被开启可以联系客服人员来解封IP。当攻击超出特定的G级别,或者数据包超过一定规模,路由的附加的ACL规则防护层将被开启。
希望大家了解的地方能够跟我们一起分享和探讨。
有用户需要代购SK机房的服务器可以直接联系签名客服。
防火墙工作原理拓扑请看:
美国SK机房相关文章阅读
美国独立服务器SharkTECH(SK机房)公司简介http://bbs.taohost.net/thread-844-1-1.html
美国SharkTECH(SK机房)网络情况介绍
http://bbs.taohost.net/thread-845-1-1.html
美国SK机房(SharkTech) IP段搜集贴
http://bbs.taohost.net/thread-843-1-1.html
关于本站的SK机房经销商资质说明
http://bbs.taohost.net/thread-847-1-1.html
页:
[1]