对于机房的内部攻击，DDOS防护该如何应对

近年来随着互联网带宽的不断增加，加上越来越多的DDOS黑客工具的发布，DDOS防护的难度越来越高，而DDOS攻击的发起难度随着互联网技术的发展越来越低，DDOS攻击事件也处于上升趋势，这给互联网安全带来巨大的威胁。
但是如果你的网络或服务器没有DDoS防护措施，在遭到DDoS攻击时，网络或服务器就会表现出这些现象：被攻击主机上有大量等待的TCP连接。网络中充斥着大量的无用的数据包，源地址为假。存在高流量无用数据，网络拥塞严重，主机无法正常和外界通讯。反复高速地发出特定的服务请求，但受害主机无法及时处理所有正常请求。严重时则会造成系统死机。
为了应对DDOS攻击，现在网络服务商非常注重防御来自外部的DDOS流量，包括购置防火墙，提高网络带宽等，投入了巨大的成本。这种属于“被动安全”，即防止被他人从外部攻击。但在DDOS防护的过程中，有一个地方却一直被大多数服务商所忽略，那就是从IDC机房内部发起的DDOS攻击。如何主动抑制从内部发起的攻击，是“主动安全”所关注的问题。
前不久一个运营商IDC机房刚刚经历了一次特别的DDOS攻击。与之前不同的是，这次黑客俘获了他们机房的大量虚拟机做为傀儡机，并向境外站点发起了DDOS攻击，因为这次攻击事件该运营商被通报批评。事后该运营商进行了仔细检查发现，该IDC机房的虚拟主机分别部署在两个虚拟化平台上，而被俘获为傀儡机并对外发起DDOS攻击的虚拟机均部署自其中一个厂商的虚拟化平台上。而另一个平台上的虚拟机虽然也被俘获，但却没有对外发起DDOS攻击。
从没对外发起DDOS攻击的虚拟机里面的日志发现了其中的端倪，被俘获的虚拟机也同样发起DDOS攻击，但攻击流量却被内部防火墙进行了拦截，因此对外的攻击没有成功。可以想象，如果该运营商IDC机房的虚拟主机全都部署在这个平台上，那本次从IDC内部发起的DDOS攻击就可以被成功拦截，从而避免出现更大的问题。从IDC机房内部发起的DDOS攻击，常规的硬件防火墙和入侵检测设备并无法进行防护，因为这些攻击的流量并不是从外部进行IDC机房，而是在防火墙内发起。
如今DDOS防护只有能够有效识别进出虚拟化层的DDOS攻击流量并进行拦截，把“被动安全”和“主动安全”结合在一起，才能够在系统上有效地保护服务器或网站安全。
　　本文转自：https://www.zhuanqq.com/News/Industry/330.html