Cloudflare DDoS 服務基於 Cloudflare 的 Anycast 全球網絡技術,結合 3 層自動防 DDoS 檢測和頗具特色的防 DDoS 系統。 因此,流向 Cloudflare 分佈式服務器網絡的流量將通過三個 DDoS 保護系統,包括 DoSD 層、Flowtrackd 和 GateBot。
三層綜合防禦強化安全
第一個是分散的 DDoS 保護系統,稱為 DoSD(拒絕服務守護程序)。 DoSD 的作用相當於“本地警察”,設置在 Cloudflare 全球數據中心網絡(數據中心)中的每台邊緣服務器上運行。 當檢測到異常時,DoSD 會分析流量並應用針對每個區域的特定情況量身定制的保護命令。 除了以閃電般的速度檢測和緩解攻擊的能力外,DoSD 還可以直接從邊緣(服務器系統的邊緣)檢測和緩解攻擊。
此外,對於這些邊緣服務器中的每一個,Cloudflare 將添加另一層安全層,稱為 Flowtrackd(流跟踪守護程序),它有助於檢測和緩解利用 TCP – 三向通信的 DDoS 攻擊。 . Flowtrackd 可以確定 TCP 連接的狀態,然後最小化或限制對無效連接的數據包的訪問。 因此,與 DoSD 一樣,Flowtrackd 也可以在所有 Cloudflare 數據中心本地運行。
最後一層安全位於 Cloudflare 的中央數據中心 Gatebot。 Gatebot 將在 Cloudflare 的核心數據中心網絡中運行。 Gatebot 作為“情報中心”的角色,接收來自所有 Cloudflare PoP 的所有流量樣本(流量樣本),對其進行分析並自動發送指令,一旦系統發生攻擊,將整個網絡的攻擊降至最低。
作用機制和對攻擊的反應
為了能夠進行最準確的攻擊風險評估,上述三層安全系統會不斷的採集客戶流量樣本(traffic samples)——包括“包字段”(即源IP地址、源端口等訪問信息字段) , 目標 IP, 目標端口, TCP, …); “HTTP 請求元數據”(例如 HTTP 標頭、用戶代理、查詢字符串、TLS 密碼版本、請求速率……)和“HTTP 響應指標”(例如客戶源服務器返回的錯誤代碼和速率)他們的費率)。 收集流量模式後,Cloudflare 的系統將它們組合在一起,形成對客戶源服務器的網絡安全和健康狀況的真實監控。 系統將持續掃描攻擊模式和流量異常。 一旦找到,系統會自動生成最優的攻擊緩解命令,將成本降到最低。 通常,DDoS 攻擊遵循 HTTP 洪水 – “第 7 層”級別,該級別將降低到“第 4 層”,從而盡可能減少 CPU 消耗。
“地方警察”DoSD、Flowtrackd 和“情報中心”Gatebot 三人組將緊密合作,形成強大而堅實的防禦層。 如果說 DoSD、Flowtrackd 幫助快速管理每台邊緣服務器的安全,Gatebot 幫助控制並自動向全網 PoPs 服務器廣播攻擊緩解指令,那麼這些命令將依次部署,以優化攻擊緩解。 即使在小型邊緣服務器集群中檢測到攻擊,Gatebot 也會向數據中心的每台邊緣服務器廣播攻擊緩解指令。 因此,Cloudflare 的網絡變得智能,可以主動檢測和保護您的網站免受任何攻擊。
根據各公司的需求提供多種選擇
目前,Cloudflare 主要提供 3 種抗 DDoS 解決方案 – 包括應用層的抗 DDoS 解決方案 – 高級 DDoS 攻擊緩解(包括上述自動化技術和一些配套服務,如 WAF、速率限制); Cloudflare Spectrum Anti-DDoS 傳輸層解決方案; 以及網絡層的抗DDoS解決方案——Magic Transit。
在越南,Cloudflare CDN 也準備好滿足不同的需求,包括一個自助門戶,其中包含 3 個計劃選項 Free/Pro/Business 和 Enterprise,可根據每個公司的要求進行定制。 有關 Cloudflare DDoS 的更多詳細信息,請參閱更多 這裡.
“Incurable troublemaker. Explorer. Student. Professional alcohol expert. Internet geek.”