如何使用Anycast路由帮助抵御DDoS攻击

一个计算机网络由一组计算机和各种网络设备组成,这些设备连接在一起共享资源和信息。地址,即IP地址,用于标识此类设置中的每台计算机和网络设备。

一个IP address由两部分组成:主机地址和网络地址。网络地址显示计算机或网络设备所在的子网。

互联网络中不同机器之间的通信通过各种路径进行。路由是根据预设规则确定最佳通信路径的过程。

路由允许在computer network中的各种设备之间进行数据交换。路由器接收数据包并确定目标地址。

什么是Anycast路由?

任播是一种技术,它为一组分配了相同IP地址的终端点提供多个路由路径。这种网络寻址和路由方法允许将传入请求路由到各个节点或位置。

图片来源:Cloudflare

通过任播网络路由,所有传入的连接请求都会在多个data centers之间路由。任播网络使用一些优先级方法,在与网络关联的IP地址收到请求时分发数据。

数据中心的选择经过优化以减少延迟。Anycast将选择离请求者最近的数据中心。任播具有1对多的关联。

Anycast的用途

#1.内容传递网络(CDN)

内容传递网络是全球分布的服务器网络,其作用是向用户提供网络内容。这些网络传递的内容包括图像、视频、音频文件和文本。

Anycast被CDN提供商用于将用户路由到最近可用的服务器边缘。这些边缘服务器提供反向代理、静态内容缓存和用于流媒体服务的OTT。

如果某个位置由于维护、崩溃或升级而脱机,用户会被路由到下一个最近的位置。这样的设置可以改善一般用户体验并减少延迟。

#2.域名系统(DNS)

DNS是互联网系统将可读的域名转换为IP地址的过程。DNS分为递归DNS提供商和权威DNS服务器两类。

递归DNS提供商将DNS servers的IP地址直接编程到用户的计算机、智能手机、手表和平板电脑中。这些设备上用户进行的所有查询都会被发送到提供商的服务器。

DNS提供商可以通过管理每个终端用户的查找请求来确保增加的性能和安全性。

#3.混合和多云基础架构

大多数现代企业都建立在hybrid cloud基础架构上。一些企业依赖于多个云提供商,如Azure、Amazon和Google。当在部署中使用Anycast时,可以确保使用混合云基础架构的企业的最终用户永远不会遇到停机。

使用Anycast进行部署时,用户会被路由到最靠近他们的云位置。这样的设置可以确保所有用户连接到相同的IP地址,并减少延迟。如果当前服务器位置失败,用户会快速被路由到最近的可用服务器位置。

#4.覆盖网络

现在许多云服务提供商提供基于云的覆盖网络服务,帮助组织增加安全性并控制对云基础设施和数据中心的访问。这些组织避免了建立物理连接网络所带来的高成本。

覆盖网络应该具有低延迟,以满足寻找云解决方案的公司的需求。任播路由提供了一种解决方案,它确保了一个单一的IP地址,远程用户全球范围内连接到离他们最近的覆盖网络入口点。

#5. 网络负载均衡

任播进行网络负载均衡,将网络流量分布到多个服务器上。这样的设置确保了没有任何一个服务器会被过多的流量压垮,最终提高了可扩展性和可靠性。假设有服务器A和B的情况。

如果由于损坏或攻击而导致服务器A宕机,流量将被路由到服务器B,因为它们具有相同的IP地址。

任播的好处

  • 快速连接。任播不使用很多的互联网跳数,并且在到达中间节点时提供了更直接的方法。
  • 高可用性。多个节点广告一个单一的IP地址,提供了冗余。因此,当一个节点失败或过载时,总是有备份可用。
  • 简单设置。使用任播时,一个DNS服务器的配置就足够了。然后将该服务器分发到网络上的每个节点。
  • DDoS保护。

任播的缺点

  • 高维护成本。设置任播和管理路由通告可能会很昂贵。
  • 技术难度较高。设置任播有一定的技术性。您还需要一定的技能水平来有效地管理它。

任播 vs. 单播

任播并不是唯一可用的网络寻址和路由选项。我们还有单播。

在单播中,单个IP被分配给单个节点。因此,静态路由用于连接发送者和接收者。在这种设置中,无论来源如何,单个请求总是沿着相同的路径路由。

图片来源:Cloudflare
特点 任播 单播
目的 大多数用于需要高可用性的网络服务。DNS和CDN是此类服务的示例。 适用于传统的客户端-服务器通信。在这样的设置中,设置中的每个设备都与特定的服务器通信/发送请求。
地址分配 任播网络中的不同设备被分配相同的IP地址。请求被发送到网络上最近的设备。 网络上的每个设备都被分配一个唯一的IP地址。所有请求遵循特定的路径,其中某个设备只能将数据发送到特定的服务器。
可扩展性 任播将请求分布到网络上的不同设备。这种方法使得网络易于扩展,因为没有设备会被过载。 网络上的每个设备只与特定的服务器通信。如果其中一个设备的流量/请求增加,没有机制使网络更加高效。

什么是DDoS攻击?

Web服务器设计为能够同时处理指定数量的请求。如果对网络资源或服务器的请求超过这些限制,服务器很可能会停止运行并阻止新请求的服务。

分布式拒绝服务(DDoS)攻击是攻击者向目标网络发送恶意流量,使其无法对用户提供服务。DDoS攻击者使用“僵尸网络”来传递大量流量。

攻击者基本上通过诸如social engineering等技术侵入远程设备后创建了一个“僵尸网络”系统。

一旦系统被感染,这些“僵尸网络”就会被指示发动攻击,从而使服务器不堪重负。

恶意人士发动DDoS攻击的原因有很多。过去,攻击者主要是为了破坏目标公司的声誉或造成服务中断。然而,现代攻击者通过要求付款以停止攻击来从这类攻击中获利。

广播寻址如何减少DDoS攻击?

广播寻址是可以帮助减少DDoS攻击的解决方案之一。广播寻址将所有传入请求分布到各个服务器/不同位置。因此,当传入流量分布在不同位置时,无法针对特定服务器进行攻击并使其无法使用。

图片来源:Avast

在DDoS攻击期间,广播寻址可以使用以下技术:

  • 流量整形。该技术控制网络流量流动,以确保其满足服务质量要求。这种方法可以确保关键应用程序接收最多的bandwidth
  • 流量重定向。将攻击者的流量重定向到不同的节点,使其难以过载一个服务器并使其无法使用。
  • 速率限制。此技术限制服务器或网络处理传入流量的速率。如果识别出DDoS攻击,可以增加速率以允许处理合法流量,同时过滤恶意流量。
  • 流量过滤。广播寻址可以识别特定地区的流量模式,并在存在可疑活动时阻止它们。这种方法可以确保malicious traffic永远不会到达网络。

如何使广播寻址更有效

尽管广播寻址路由很强大,但通过以下提示可以确保其更好地运行:

  • 正确的网络设计。如果想要广播寻址效果好,首先要确保节点位于适当的位置。其他设计提示包括确保网络基础设施可扩展,并选择合适的路由协议。
  • 加强安全性。广播寻址在减少DDoS攻击方面很有效。然而,您可以通过确保您采取正确的安全措施来加强网络的安全性。首先要处理访问控制、encrypting data,并在系统上添加firewalls
  • 监控。监控您的广播寻址系统的性能可以轻松检测到异常模式并采取行动。监控和报告过程应自动化。
  • 地理多样性。在不同地区放置节点是使广播寻址更有效的完美方法。用户的请求将始终被定向到附近的一个节点,从而实现快速处理。

结论

除了其他用例,广播寻址也是用于减少DDoS攻击的众多方法之一。广播寻址网络扩散方法的有效性取决于网络规模和攻击规模等因素。

一个覆盖广泛且具有许多分布式服务器的网络可能比一个较小的网络更有效地传播DDoS攻击。 Anycast的作用是预防性的,它将网络请求发送到不同的位置,从而减轻DDoS攻击的影响。

您还可以探索适用于小型到企业级网站的顶级基于云的DDoS protection

类似文章