面對DDos攻擊有哪些防護措施

何靜

Dos拒絕服務(wù)攻擊是通過各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)CPU、內(nèi)存以及連接數(shù)等資源，直接造成網(wǎng)絡(luò)帶寬耗盡或系統(tǒng)資源耗盡，使得該目標系統(tǒng)無法為正常用戶提供業(yè)務(wù)服務(wù)，從而導(dǎo)致拒絕服務(wù)。

常規(guī)流量型的DDos攻擊應(yīng)急防護方式因選擇的引流技術(shù)不同而在實現(xiàn)上有不同的差異性，主要分為以下3種方式，實現(xiàn)分層清洗的效果。

1.本地DDos防護設(shè)備

一般惡意組織發(fā)起DDos攻擊時，率先感知并起作用的一般是本地數(shù)據(jù)中心內(nèi)的DDos防護設(shè)備，金融機構(gòu)本地防護設(shè)備較多采用旁路鏡像部署方式。

本地DDos防護設(shè)備一般分為DDos檢測設(shè)備、清洗設(shè)備和管理中心。首先，DDos檢測設(shè)備日常通過流量基線自學(xué)習(xí)方式，按各種和防御有關(guān)的維度：

比如syn報文速率、http訪問速率等進行統(tǒng)計，形成流量模型基線，從而生成防御閾值。

學(xué)習(xí)結(jié)束后繼續(xù)按基線學(xué)習(xí)的維度做流量統(tǒng)計，并將每一秒鐘的統(tǒng)計結(jié)果和防御閾值進行比較，超過則認為有異常，通告管理中心。

由管理中心下發(fā)引流策略到清洗設(shè)備，啟動引流清洗。異常流量清洗通過特征、基線和回復(fù)確認等方式對攻擊流量進行識別、清洗。

經(jīng)過異常流量清洗之后，為防止流量再次引流至DDos清洗設(shè)備，可通過在出口設(shè)備回注接口上使用策略路由強制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)，訪問目標系統(tǒng)。

2.運營商清洗服務(wù)

當流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDos清洗設(shè)備性能不足以應(yīng)對DDos流量攻擊時，需要通過運營商清洗服務(wù)或借助運營商臨時增加帶寬來完成攻擊流量的清洗。

運營商通過各級DDos防護設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實踐證明，運營商清洗服務(wù)在應(yīng)對流量型DDos攻擊時較為有效。

3.云清洗服務(wù)

當運營商DDos流量清洗不能實現(xiàn)既定效果的情況下，可以考慮緊急啟用運營商云清洗服務(wù)來進行最后的對決。

依托運營商骨干網(wǎng)分布式部署的異常流量清洗中心，實現(xiàn)分布式近源清洗技術(shù)，在運營商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉，提升攻擊對抗能力。

具備適用場景的可以考慮利用CNAME或域名方式，將源站解析到安全廠商云端域名，實現(xiàn)引流、清洗、回注，提升抗毒能力。進行這類清洗需要較大的流量路徑改動，牽涉面較大，一般不建議作為日常常規(guī)防御手段。

以上3種防御方式存在共同的缺點，由于本地DDos防護設(shè)備及運營商均不具備HTTPS加密流量解碼能力，導(dǎo)致針對HTTPS流量的防護能力有限；同時由于運營商清洗服務(wù)多是基于Flow的方式檢測DDos攻擊，且策略的顆粒度往往較粗，因此針對CC或HTTP慢速等應(yīng)用層特征的DDos攻擊類型檢測效果往往不夠理想。

對比3種方式的不同適用場景，發(fā)現(xiàn)單一解決方案不能完成所有DDos攻擊清洗，因為大多數(shù)真正的DDos攻擊都是“混合”攻擊（摻雜各種不同的攻擊類型）。比如：以大流量反射做背景，期間混入一些CC和連接耗盡，以及慢速攻擊。這時很有可能需要運營商清洗（針對流量型的攻擊）先把80 %以上的流量清洗掉，把鏈路帶寬清出來；剩下的20 %很有可能還有80 %是攻擊流量（類似CC攻擊、HTTP慢速攻擊等），那么就需要本地配合進一步進行清洗。