首先,给大家介绍下,CC攻击防护。CC攻击是利用Http Get或TCP多并发连接,使服务器资源、CPU、带宽等耗尽导致服务器崩溃的攻击方式。
一般针对网站的CC攻击,是Get和Post方式提交。如10000次/S的CC请求,相当于服务器每秒钟需要响应1万次的连接请求。
那么硬件防火墙的工作原理,硬件防火墙,目前知名的抗CC比较强大的是安徽中新金盾公司开发的金盾抗拒绝服务防火墙,拥有针对Web Http攻击的插件。还有一款是目前国内知名的,安全盾,天机盾。
硬件防火墙,是对所有访问请求,进行按一定策略进行筛选,对疑似攻击的可疑请求,直接挡在服务器外,减少服务器的负载。
相比来说,目前,安全盾,设备,比金盾的抗CC性能要好,主要是在于其误封较少,对CC攻击的检测较为精准。
那么,抗CC,有什么条件呢?
这里给大家举一个例子,用户到服务器上获取数据,需要与服务器建立连接,服务器需要消耗上行带宽资源,如果为动态网站,用户进行一次post,服务器需要进行一次数据库查询。
那么,如果现在,有100万次/S的请求,机房硬件防火墙设备,架设拦截率达到99.5%,那么在机房硬件防火墙设备清洗后,拦截了每秒99.5万次的请求,那么,还剩下5000次/秒的请求。
5000次/秒的请求,需要服务器发送每秒5000次的数据,同样需要大带宽的支持。如果是动态网站,那么服务器还需要进行每秒钟5000次的数据库查询。这样就要求,即使在机房上层有部署了硬件防火墙设备的情况下,也需要服务器自身拥有足够的带宽,以及高配置的性能,来应付这些被防火墙释放的漏网之鱼。如果将防火墙策略调整至很严格的状态,那么可能同样会把正常的访问请求也当做攻击给拦截封锁。
创云浙江丽水机房,目前可以针对CC攻击者发起的Web Http请求,进行抓包分析,分析请求类型,提交参数等,进行防护策略的定制。达到精准拦截的效果。
但是任何硬件防火墙,都做不到100%拦截,肯定会有漏网之鱼。那么就需要服务器拥有大带宽+高配置的性能,来应对这些漏网之鱼。目前我们推荐的扛CC攻击性能比较的配置是:100M或1000M带宽端口+16核+16G内存。