网络安全—DDoS攻防
背景简述:DDoS攻击按照攻击目标可分为多种类型:一方面有针对网络带宽资源进行破坏的应用层攻击;另一方面则针对服务器资源实施破坏性操作。这些类型的攻击给各类型的组织都带来了严峻挑战:其中最为严重的当属针对流量资源的DDoS攻击方式。随着网络带宽价格不断走低,在线流量价格已经降至几百兆乃至数千兆不等水平;这种模式使得各种类型的DDoS攻击防不胜防:从简单的几百兆流量到规模达数G甚至更大的大规模攻击范围都在持续发生中。特别是在游戏行业竞争日益激烈的背景下:DDoS攻防体系已经成为了各大游戏运营商必须应对的重要挑战之一
常用防御方法:
企业级DDoS防火墙:曾购买过多个品牌商的DDoS防护设备如金盾安全、绿盟科技及思杰网络等。这些设备在工作原理上基本一致,并均配备有较为完善的计数器和定时器机制。一方面利用该类协议的固有特性进行防护;另一方面则通过细致分析这些协议的具体运行机制来识别潜在威胁。此外,在检测能力上主要依据以下几个关键指标:每秒产生多少SYN半开连接会被视为异常流量;每IP每秒产生的ICMP流量数量是否超出正常范围;以及某些特定协议中从特定位开始携带了某些特殊字节的情况也被视为可疑攻击特征。对于规模较小的攻击流量,在防御效果上表现得较为理想。
2、运营商级DDoS防护:面对流量较大的攻击请求也只有依靠运营商自身的防护能力才能做到有效应对。运营商凭借其强大的技术与资源优势,在DDoS防护方面通常会采取两种防御策略:一种是通过封堵受攻击的IP地址来限制攻击范围(如采用诸如RTBH等技术手段);另一种则是实施流量清洗机制(如上海提供的四核心下流量清洗服务方案),这种服务方案特别受到银行及互联网企业等机构的青睐。
DDoS防火墙常用部署方式,如下图:
[
](http://s3.51cto.com/wyfs02/M02/45/B2/wKioL1PptT_BJEqYAAEue6eTssM539.jpg)
如上图左侧配置,在网络中进行直接连接,则这种情况下将确保所有IP及服务持续得到防护。
- 如图右侧所示,在采用侧向连接模式的情况下(即旁挂方式),系统将实现网络引流功能的同时也具备清洗和回注功能。在这种情况下,默认情况下无需配置DDoS防护措施;但若实际应用中有需求,则可选择启用防护机制;其优势在于操作简便且资源消耗低。
举几个以前处理过的例子:
1、 UDP流量攻击,也是比较常见的起流量的攻击方式。
[
](http://s3.51cto.com/wyfs02/M01/45/B1/wKiom1PptEeANaMlAAfCv9z5Msc072.jpg)
[
](http://s3.51cto.com/wyfs02/M02/45/B1/wKiom1PptGLBVTmZAAXr43wL2OI366.jpg)
从以上图表可以看出,在短时间内出现了一波显著的UDP攻击流量。因为这些来源的IPv4地址相对固定,在这种情况下直接采取措施封堵这些来源将有效遏制攻击流量。然而,在实际应用中这种情况较为少见。如果目标服务器的IPv4地址相对固定,则建议采取防护措施针对目标服务器的IPv4地址以避免对正常用户造成干扰。
2、 ICMP流量攻击
[
](http://s3.51cto.com/wyfs02/M00/45/B2/wKioL1PptcjQdOO2AAtlJO7QGZA833.jpg)
3、 SYN攻击
[
](http://s3.51cto.com/wyfs02/M01/45/B2/wKioL1PpthTxD_aiAAYv7ItHf2g198.jpg)
曾记得当时SYN流量峰值达到约2GB左右?持续时间长达几小时之久?但最终均未能逃脱DDoS防火墙的有效防护!如今看来该系统已发展至极高的防护等级!不仅能抵御常规流量攻击还能有效遏制SYN攻击行为!
DDoS攻击无休无止进行中,
其源头难以追踪,
当前的攻击成本极为低廉,
目前可能仅剩下被动应对。
未来如何有效应对这类问题:
采用CDN的方式可行吗?
采用SDN是否更优?
未来网络如FIA/XIA是否适合?