Ddos源代碼時間

DDoS攻擊及對策

DDo(分布式拒絕服務)即分布式拒絕服務攻擊，是指黑客通過控制由多個肉雞或服務器組成的僵屍網絡，向目標發送大量看似合法的請求，從而占用大量網絡資源使網絡癱瘓，阻止用戶正常訪問網絡資源。

從各安全廠商的DDoS分析報告中不難看出，DDoS攻擊的規模和趨勢正在成倍增長。由於攻擊成本的降低、技術門檻要求的降低以及攻擊工具的肆意傳播，互聯網上隨處可見成群的肉雞，發動DDoS攻擊輕而易舉。

DDoS攻擊技術包括:常見的直接流量攻擊(如SYN/ACK/ICMP/UDP FLOOD)、使用特定應用或協議的反射流量攻擊(如NTP/DNS/SSDP反射攻擊、2065438+2008年2月28日GitHub遭受的Memcached反射攻擊)、基於應用的CC、慢速HTTP。關於這些攻擊技術的原理和工具，網上有很多資源，這裏就不贅述了。

1.1 DDoS防禦例程

防禦DDoS的常規例程包括:本地設備清理、操作員清理和雲清理。

1.本地設備的清潔

抗DDoS設備(業內俗稱ADS設備)壹般以盒子的形式部署在網絡出口，可以串聯部署，也可以旁路部署。旁路部署在攻擊發生時需要流量牽引，其基本部署方案如圖18-1所示。

圖18-1 ADS設備部署模式

圖18-1中的檢測設備分析鏡像流量，並在檢測到DDoS攻擊後通知清理設備。清潔設備通過BGP或OSPF協議將流量吸引到清潔設備，然後通過策略路由或MPLS LSP將清潔的幹凈流量註入網絡。當檢測設備檢測到DDoS攻擊停止時，會通知清理設備停止流量牽引。

當ADS設備部署在本地時，企業用戶可以依靠壹些內置的防禦算法和模型來有效抵禦壹些小規模的常見流量攻擊。同時結合盒子提供的可定制策略和服務，方便有經驗的企業用戶分析攻擊包，定制針對性的防禦策略。目前國內市場主要以綠盟黑洞為代表，可以登陸其官網詳細了解。

本地清理最大的問題是當DDoS攻擊流量超過企業出口帶寬時，即使ADS設備可以處理，也無法解決這個問題。諸如普通金融證券的公司用戶的輸出帶寬可能在幾百兆字節到幾千兆字節的範圍內。如果遇到十幾千兆甚至上百兆的流量，真的會很麻煩，更何況是T級的DDoS攻擊。

？2.操作員清潔

當本地設備清洗無法解決流量超出出口帶寬的問題時，往往需要運營商能力的幫助。緊急擴容或啟動清潔服務是常見的做法，前提是購買了相應的清潔服務，壹般需要電話或郵件確認，有的可能還需要傳真。

運營商的清洗服務基本上是根據netflow采樣來檢測網絡中是否存在DDoS攻擊，策略的粒度較粗，所以針對低流量特征的DDoS攻擊類型的檢測效果往往不太理想。再加上電話、郵件、傳真等壹些流程操作。，當真正的攻擊來臨時，處理可能會慢壹些，這壹點需要註意。

值得壹提的是，中國電信的李雲迪服務提供了“流量抑制”和“近源清理”服務，還提供了自助平臺供用戶操作，查看流量和開始清理都非常方便。

？3.雲清洗

內容分發網絡(CDN)是指通過在網絡各處放置節點服務器，使用戶可以在最近的地方訪問服務，從而提高訪問速度和服務質量。CDN主要使用四個關鍵技術:內容路由、內容分發、內存存儲和內容管理。更詳細的技術原理請參考中國電信研究院發布的CDN技術詳解。

CDN技術的初衷是提高互聯網用戶對靜態網站的訪問速度。但由於分布式、近距離訪問的特點，可以稀釋攻擊流量。因此，壹些傳統CDN廠商除了提供雲加速功能外，也開始推出雲清洗服務。當然，也有壹些安全公司基於自身優勢進入雲清洗市場。基本原理是壹樣的。您需要首先在雲中配置相應的記錄。當企業遭受大規模攻擊時，可以將其DNS記錄保護的域名CNAME修改為雲端預先配置的記錄，等待DNS生效。

使用雲清洗需要註意以下問題:

1.-雲清洗廠商需要提前配置相應的記錄。DNS修改記錄後，需要等待TTL超時才能生效。？

2.？針對源頭IP的攻擊，雲清理無法保護，要靠本地和運營商來清理。？

3.防禦HTTPS網站還涉及HTTPS證書，由此帶來的數據安全風險需要考慮。市場上也有相應的無鑰匙方案{n1}。

國內環境不支持Anycast技術，不贅述。如果有海外分支機構的網站需要保護，可以關註壹下。

{nt1|詳情請參考cloudflare博客上的文章，鏈接:[/keyless-SSL-the-nitty-grity-technical-details/](/keyless-SSL-the-nity-grity-technical-details/)。

壹些經驗

結合筆者的經驗，對DDoS防護落地做壹些補充，僅供參考。

1.自動化平臺

由於高可用性要求，金融企業往往有多個數據中心，壹個數據中心還會接入多個運營商線路，這樣用戶就可以通過廣域網負載均衡系統訪問最新的最優資源。當任何壹條接入線路上出現DDoS攻擊時，這條線路上的接入需求可以通過WAN負載均衡系統轉移到其他互聯網線路上。在針對IP地址的DDoS攻擊中，該方案可以有效地保護正常用戶的訪問不受影響。為了實現快速切換，需要通過自動化運維平臺來實現，如圖18-2所示。

圖18-2

線路調整壹鍵應急協調，使團隊成員在事件發生的第壹時間快速掌握方法和切換，將影響降到最低。下壹步是通知運營商進行清理，等待流量恢復正常後再切換回來。

當某個服務的IP受到攻擊時，可以有針對性的進行攻擊，比如壹鍵停用，讓正常用戶訪問其他IP；您還可以壹鍵啟動清潔服務。

？2.設備的阻力

除了ADS設備，還有壹些設備需要註意抗DDoS能力，包括防火墻和負載均衡設備。

出於安全性和可控性的需求，金融企業往往采用異構模式部署防火墻，比如最外層的產品A，其中可能會用到產品B。如果產品A的抗DDoS能力差，當攻擊發生時，可能還沒等到ADS設備清理完畢，產品A就已經出現問題了，比如HA切換或者無法處理新的連接。

在產品選型測試中，需要註意這方面的能力，結合筆者的團隊經驗，有以下幾點可供參考:

1.有些產品打開日誌模塊後會有極其嚴重的性能消耗，建議在可能有攻擊的環境下關閉。

2.雖然理論和實際會有偏差，但根據實際測試情況，建議在有大量新增TCP和UDP連接時，防火墻連接的最大數量盡量大。

3.多試驗，多比較，從中找到更好的方案，通過適當的調整和優化，推出更好的方案。

4.監控防火墻CPU和連接數。當它超過壹定值時，開始優化規則，將訪問次數多的規則前移，減少規則數量。

負載均衡設備也需要註意上述問題。此外，負載均衡由於承擔了應用訪問請求的分發和調度，可以在壹定程度上防禦DDoS攻擊和基於IP速率和URL速率的慢速攻擊。圖18-3顯示了F5 ASM的DDoS防護策略。