9734 
2023-05-24 11:12:01 從數(shù)據(jù)整理上看,DDoS 攻擊都在增加這對于企業(yè)來說是個壞消息。ddos攻擊會使得服務器癱瘓,惡意流量來自世界各地的分布式來源。今天小編要分享的就是DDos流量攻擊應急防護方式,如何有效防御DDOS攻擊是現(xiàn)階段作為網絡維護人員需要掌握的技能。
DDos流量攻擊應急防護方式
1. 本地DDos防護設備
一般惡意組織發(fā)起DDos攻擊時,率先感知并起作用的一般為本地數(shù)據(jù)中心內的DDos防護設備,金融機構本地防護設備較多采用旁路鏡像部署方式。
本地DDos防護設備一般分為DDos檢測設備、清洗設備和管理中心。首先,DDos檢測設備日常通過流量基線自學習方式,按各種和防御有關的維度:比如syn報文速率、http訪問速率等進行統(tǒng)計,形成流量模型基線,從而生成防御閾值。
學習結束后繼續(xù)按基線學習的維度做流量統(tǒng)計,并將每一秒鐘的統(tǒng)計結果和防御閾值進行比較,超過則認為有異常,通告管理中心。由管理中心下發(fā)引流策略到清洗設備,啟動引流清洗。異常流量清洗通過特征、基線、回復確認等各種方式對攻擊流量進行識別、清洗。
經過異常流量清洗之后,為防止流量再次引流至DDos清洗設備,可通過在出口設備回注接口上使用策略路由強制回注的流量去往數(shù)據(jù)中心內部網絡,訪問目標系統(tǒng)。
2. 運營商清洗服務
當流量型攻擊的攻擊流量超出互聯(lián)網鏈路帶寬或本地DDos清洗設備性能不足以應對DDos流量攻擊時,需要通過運營商清洗服務或借助運營商臨時增加帶寬來完成攻擊流量的清洗。運營商通過各級DDos防護設備以清洗服務的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實踐證明,運營商清洗服務在應對流量型DDos攻擊時較為有效。
3. 云清洗服務
當運營商DDos流量清洗不能實現(xiàn)既定效果的情況下,可以考慮緊急啟用運營商云清洗服務來進行最后的對決。依托運營商骨干網分布式部署的異常流量清洗中心,實現(xiàn)分布式近源清洗技術,在運營商骨干網絡上靠近攻擊源的地方把流量清洗掉,提升攻擊對抗能力。
具備適用場景的可以考慮利用CNAME或域名方式,將源站解析到安全廠商云端域名,實現(xiàn)引流、清洗、回注,提升抗D能力。進行這類清洗需要較大的流量路徑改動,牽涉面較大,一般不建議作為日常常規(guī)防御手段。
總結
以上三種防御方式存在共同的缺點,由于本地DDos防護設備及運營商均不具備HTTPS加密流量解碼能力,導致針對HTTPS流量的防護能力有限;
同時由于運營商清洗服務多是基于Flow的方式檢測DDos攻擊,且策略的顆粒度往往較粗,因此針對CC或HTTP慢速等應用層特征的DDos攻擊類型檢測效果往往不夠理想。
對比三種方式的不同適用場景,發(fā)現(xiàn)單一解決方案不能完成所有DDos攻擊清洗,因為大多數(shù)真正的DDos攻擊都是“混合”攻擊(摻雜各種不同的攻擊類型)。
比如:以大流量反射做背景,期間混入一些CC和連接耗盡,以及慢速攻擊。這時很有可能需要運營商清洗(針對流量型的攻擊)先把80%以上的流量清洗掉,把鏈路帶寬清出來;在剩下的20%里很有可能還有80%是攻擊流量(類似CC攻擊、HTTP慢速攻擊等),那么就需要本地配合進一步進行清洗。
如何有效防御DDOS攻擊?
1. 擴充帶寬硬抗
網絡帶寬直接決定了承受攻擊的能力,國內大部分網站帶寬規(guī)模在10M到100M,知名企業(yè)帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數(shù)量屈指可數(shù)。但DDoS卻不同,攻擊者通過控制一些服務器、個人電腦等成為肉雞,如果控制1000臺機器,每臺帶寬為10M,那么攻擊者就有了10G的流量。當它們同時向某個網站發(fā)動攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國內非一線城市機房帶寬價格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價買大帶寬做防御。
2. 使用硬件防火墻
許多人會考慮使用硬件防火墻,針對DDoS攻擊和黑客入侵而設計的專業(yè)級防火墻通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網站飽受流量攻擊的困擾,可以考慮將網站放到DDoS硬件防火墻機房。但如果網站流量攻擊超出了硬防的防護范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高墻同樣抵擋不住。值得注意一下,部分硬件防火墻基于包過濾型防火墻修改為主,只在網絡層檢查數(shù)據(jù)包,若是DDoS攻擊上升到應用層,防御能力就比較弱了。
3. 選用高性能設備
除了防火墻,服務器、路由器、交換機等網絡設備的性能也需要跟上,若是設備性能成為瓶頸,即使帶寬充足也無能為力。在有網絡帶寬保證的前提下,應該盡量提升硬件配置。
4. 負載均衡
普通級別服務器處理數(shù)據(jù)的能力最多只能答復每秒數(shù)十萬個鏈接請求,網絡處理能力很受限制。負載均衡建立在現(xiàn)有網絡結構之上,它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數(shù)據(jù)處理能力、提高網絡的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務器由于大量的網絡傳輸而過載,而通常這些網絡流量針對某一個頁面或一個鏈接而產生。在企業(yè)網站加上負載均衡方案后,鏈接請求被均衡分配到各個服務器上,減少單個服務器的負擔,整個服務器系統(tǒng)可以處理每秒上千萬甚至更多的服務請求,用戶訪問速度也會加快。
5. CDN流量清洗
CDN是構建在網絡之上的內容分發(fā)網絡,依靠部署在各地的邊緣服務器,通過中心平臺的分發(fā)、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡技術。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節(jié)點分擔滲透流量,目前大部分的CDN節(jié)點都有200G 的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數(shù)的DDoS攻擊了。這里我們推薦一款高性比的CDN產品:百度云加速,非常適用于中小站長防護。相關鏈接
6. 分布式集群防御
分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址,并且每個節(jié)點能承受不低于10G的DDoS攻擊,如一個節(jié)點受攻擊無法提供服務,系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另一個節(jié)點,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點,使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。
以上就是關于DDos流量攻擊應急防護方式內容,可以采取多種措施來防止攻擊并減輕其影響。保護網絡資源的網絡和安全硬件中的設置,減少DDos流量攻擊產生的負面影響。
