目前遊戲行業仍是攻擊的重災區,這個產品也應運而生,採用分布式節點部署,攻擊流量分散在不同的節點上,可以無上限防禦ddos,cc攻擊其他協議攻擊等。非常全面的防禦各種攻擊入侵滲透,同時為使用者訪問加速。
整個防護由三大模組組成,分別是客戶端sdk、智慧型排程和身份驗證。
簡單演示一下大概效果,有感興趣的朋友可以進行溝通交流。市面上有不少同類商用產品,各有各的優點,這個產品並非商業軟體,而是之前給客戶平台提供運維時候自己團隊開發的產物,有需要的可以免費提供部署和搭建。後續根據實際情況考慮開源。
一、生成sdk檔案
產品支援android\ios\windows三端的原始碼和無原始碼整合。
通過指令碼進行整合之後進行測試(三端無原始碼整合過程後續單獨寫乙個獨立的介紹)。
二、抓包分析
通過原版抓包能看到大量dns請求以及http明文請求資料。
62001埠為sdk跟節點加密通訊埠。所有資料都被加密傳輸,無法解密出明文資料。
上圖為節點裡面進行dns解析服務,所有的客戶端dns解析都會在遠端節點進行解析,從而防範了dns汙染和劫持。也可以避免攻擊者獲取網域名稱資訊。整合sdk之後抓包看到的全部都是加密封裝後的tcp資料報。
抓包看到sdk跟分配的節點117進行通訊,在ip為117的節點裡面將加密隧道程式斷開,模擬節點被攻擊產生無法訪問的情況。抓包看到sdk迅速切換到分配給使用者的第二個可用ip154.所有的切換都是無感知進行的。為了避免攻擊者重複拉取全部節點池,sdk的驗證端做了身份識別,token、deviceid等方式進行驗證。每個使用者分配的一組3個ip都不會重複,如果攻擊者打死分配給他的節點ip,也只會影響到黑客自己。
斷線重連,節點異常自動切換。
sdk方案優點主要是不依靠生抗來防護,而是通過大量分布式節點排程防護。
其次能完美防護cc攻擊,因為節點對外不提供任何業務埠,只對外開放乙個加密傳輸隧道埠(62001)。
sdk節點切換都是瞬間切換,不依靠網域名稱dns解析方式。cname防護集群切換依靠網域名稱解析同時無法實現無縫切換,並且防cc效果依然不理想。
q & a 問答集
1、埠防cc效果如何?
2、最高能防禦多大攻擊量?
答:因為不是依靠高防的生抗模式,全部都通過排程演算法分配節點,因此,黑客攻擊打死的節點也只是影響黑客自己,通過多層識別,杜絕全部節點被拉取。使用者可以在分配的一組唯一ip之間無感知切換。cname高防**模式則會出現掉線,延遲高,過濾規則誤封真實使用者的情況。無感知切換是通過sdk進行處理的,不存在通過cname網域名稱進行排程切換的弊端。
3、文中提到的虛擬ip如何使用?
4、整合之後是否可以抓包到客戶端明文資料?
DDOS攻擊防護HTTP篇
http get flood攻擊的原理很簡單,攻擊者利用攻擊工具或者操縱殭屍主機,向目標伺服器發起大量的http get報文,請求伺服器上涉及資料庫操作的uri或其它消耗系統資源的uri,造成伺服器資源耗盡,無法響應正常請求。302重定向 302重定向認證的原理是anti ddos系統代替伺服器向客...
DDOS防護體系如何建立?
銳速雲阿龍 qq344953347 1 應用系統開發過程中持續消除效能瓶頸,提公升效能 通過各類優化技術,提公升應用系統的併發 新建以及資料庫查詢等能力,減少應用型ddos攻擊型別的潛在危害 2 定期掃瞄和加固自身業務裝置 定期掃瞄現有的網路主節點及主機,清查可能存在的安全漏洞和不規範的安全配置,對...
深入了解DDoS攻擊型別,有效防護DDOS攻擊。
目前,ddos攻擊已經不在網路安全界的新客,但作為老客的它已經變的越來越複雜。黑客不斷提出新的攻擊方案以便於繞過安全部門所制定的防禦計畫,進而對企業造成利益的損害。但安全提供商在防禦技術上的研究也並沒有就此停止腳步,反而更加積極的推出新的解決方案來組織黑客攻擊。1 應用層ddos攻擊 應該層的ddo...