云计算安全体系架构

DDOS攻击（数据攻击）
DDos是类文Distributea Denial of Service的缩写，即分布式拒绝服务”。凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击，也就是说拒绝围务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施，攻击网络包就会从很多DOS攻击源（俗称肉鸡）犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood.ACK Flood、UDP Flood、ICMP Flood、TCPFlood.Connections Flood.Script Flood.
Proxy Flood等.

SYN Flood（建立连接攻击）
利用TCP协议的原理，这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。TCP通道在建立以前，需要三次握手：
a.客户端发送一个包含SYN标志的TCP报文，同步报文指明客户端所需要的端口号和TCP连接的初始序列号
b.服务器收到SYN报文之后，返回一个SYN+ACK报文，表示客户端调求被接受，TCP初始序列号加1
c.客户端也返回一个确认报文ACK给服务器。同样TCP序列号加1
d.如果服务器端没有收到客户端的确认报文ACK，则处于等待状态，将该客户IP加入等待队列，然后轮训发送
SYN+ACK报文所以攻击者可以通过伪造大量的TCP器手请求，耗尽服务器端的资源。
”“”TCP固有缺陷，无彻底的方法避免。“”“

CC攻击（）
CC攻击全称Challenge Collapsar，中文意思是挑战黑洞，因为以前的抵抗DDoS攻击的安全设备叫黑润，项名思义挑战黑洞就是说器润拿这种攻击没办法，新一代的抗DDoS设备已经改名为ADS(Anti-DDoS System).基本上已经可以完美的抵御CC攻击了。CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面，制造大量的后台数据库查询动作，消耗目标CPU资源，造成拒绝服务。CC不像DDoS可以用硬件防火增来过虑攻击，CC攻击本身的请求就是正常的请求。CC攻击主要针对动态页面。
**””“静态页面”””**服务器设定的页面如何，用户则获取的是如何**”“”动态页面“”“**服务器设定的页面有代码，用户获取后代码先运行再发出，比如查询时间代码，使得用户进入网站时的时间有实时性

DDoS攻击防御方法
1.过滤不必要的服务和端口：过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF（Cisco Express
Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，
例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策路。
2.异常流量的清洗过滤：通过DDOS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
3.分布式集群防御：这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址（负载均衡），并且每个节点能承受不低于10G的DDOS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。
4.高防智能DNS解析：高智能DNS解析系统与DDOS防御系统的完美结合，为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法，智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能，随时可将瘫痪的服务器IP智能更换成正常服务器IP，为企业的网络保持一个永不宕机的服务状态，
DDoS攻击的网络流量清洗：当发生DDOS攻击时，网络监控系统会侦测到网络流量的异常变化并发出报警，在系统自动检测或人工判断之后，可以识别出被攻击的虚拟机公网IP地址。这时，可调用系统的防DDOS攻击功能接口，启动对相关被攻击IP的流量清洗。流量清洗设备会立即接管对该IP地址的所有数据包，并将攻击数据包清洗掉，仅将正常的数据包转发给随后的网络设备。这样，就能保证整个网
络正常的流量通行，而将DDOS流量拒之门外。
采用云DDoS清洗方式，可以为企业用户带来诸多好处。其表现在不仅可以提升综合防护能力，用户能够按需付费，可弹性扩展，而且还能够基于大数据来分析预测攻击，同时能够免费升级，对于企业用户来说，则可实现零运维、零改造。