DDoS-防护方案

DDOS攻击是什么

DDOS英文全称 Distributed Denial Of Service(分布式拒绝服务),实际即为攻击者用某种攻击方式/组合,多点多次地攻击目标服务,使目的服务耗尽系统资源,使其无法正常向客户提供服务。
前身为DOS(Denial Of Service),DOS采用一对一的方式,随着计算机处理能力的不断提高,网络带宽的不断升级,这种原始的攻击形式已无法达到攻击的目的,即演变成了多对一的方式,即分布式攻击的形式。

DDOS攻击的特点

  1. DDOS攻击很容易被发起
    现在互联网上可以很方便的获取各类DDOS攻击工具,只要有资源,有浅显的网络知识,即可造成不小的网络攻击事件。比较有名的免费工具有LOIC、HOIC、XOIC、Hulk、DAVOSET、黄金眼等。
  2. DDOS攻击防御难度大
    DDOS攻击识别难度较大,是比较底层的攻击,防护不当,即会无法服务,造成损失严重。

DDOS攻击分类

DDOS攻击方式划分为三种:泛洪攻击(Flood)、畸形保文攻击(Malformation)、扫描探测类攻击(Scan&Prode)。

泛洪攻击

泛洪攻击是一种攻击者通过僵尸网络、代理或直接向攻击目标发送大量伪装的服务请求报文,最终耗尽攻击目标的资源的攻击方式。
泛洪攻击还有一种高级形式:反射攻击。由僵尸网络以攻击目标的身份向网络中的服务器发送大量服务请求,网络中的服务器即会回复大量响应请求到攻击目标,从而使攻击目标资源耗尽。

畸形报文攻击

畸形报文攻击通常是指攻击者发送大量有缺陷或具有特殊控制作用的报文,从而造成主机或服务器在处理这类报文时造成系统崩溃的过程。(有点sql注入的意思)

扫描探测类攻击

扫描探测是一种潜在的攻击行为,并不具备直接的破环行为。它通常是泛洪、畸形报文攻击的前奏,是发动真正攻击前的准备行为,如IP地址扫描和端口探测等。

DDOS攻击现状分析

  1. 攻击类型
    SYN flood、UDP flood、http flood、dns flood依然是现在DDOS攻击的惯用手段。
  2. 攻击目标
    攻击目标主要为游戏、电子商务、互联网金融等,这些利润高、竞争激烈的行业,恶性竞争是主要动机,再加上这些行业好敲诈。
  3. 攻击趋势
    四大趋势:攻击流量越来越大,移动攻击越来越多,应用型攻击越来越普遍,攻击更多是从数据中心发起。

Anti-DDOS组成

Anti-DDOS即为DDOS防护清洗服务。
现在普遍的Anti-DDOS系统,包含三大组件:检测中心、清洗中心、管理中心(ATIC)。

检测中心

主要负责检测流量,发现异常上报ATIC,并上报日志。

清洗中心

主要根据ATIC下发的策略进行引流、清洗过滤,并把处理后的正常流量回注,同时上报日志

管理中心

根据检测告警日志下发引流策略至清洗中心,指挥清洗中心进行引流清洗。
负责检测中心、清洗中心的统一管理调度,日志记录和报表呈现等。

Anti-DDOS流程(旁路动态引流部署)

  1. 检测中心检测分光或者镜像流量
  2. 检测中心发现流量异常后,上报受攻击的IP地址到管理中心
  3. 管理中心自动向清洗中心下发引流策略
  4. 清洗中心根据引流策略将去往被攻击IP地址的流量引流到清洗中心中
  5. 清洗中心通过多层过滤防御技术清洗流量,丢弃攻击流量
  6. 清洗中心将清洗后到正常流量回注到网络中
  7. 清洗中心上报攻击日志到管理中心,管理中心负责呈现流量清洗效果

多层过滤防御技术

目前比较常见的为以下几种

  1. 报文合法性检测
    基于RFC检查报文合法性,主要检测/过滤利用协议栈漏洞的畸形报文攻击。这一层类似于空气净化器的初滤网,可以检测和过滤掉大部分畸形报文攻击和特殊控制报文攻击。(这也是大多攻击为flood攻击的一个原因,因为flood更容易达到目的)
  2. 特征过滤
    部分攻击是具有一定的共同特征的,也被称为指纹,UDP类攻击流量通常都具有一定的特征。例如,UDP反射放大攻击一般都是基于特定的UDP端口,以往较常见NTP、DNS、SSDP反射放大攻击,分别对应UDP的123、53、1900端口。
    (1)静态指纹
    静态指纹是已知的攻击特征。系统根据一些经验,预先定义好攻击特征参数,并将其保存在过滤器模板里。
    (2)动态指纹
    动态指纹是Anti-DDOS系统自动学习获得的特征。系统对已判为攻击的攻击报文做规律识别,聚合提取相同内容作为指纹特征,然后自动应用。
  3. 虚假源认证
    用于防范虚假源发起的传输层攻击,SYN-Flood是虚假源攻击的典型代表,特点是海量变源/变源端口的报文被发送到受害主机。Anti-DDOS对此会作为“中介”回应源发出的SYN报文,如果源是真实的,Anti会继续回应RST报文,如果源是虚假的,Anti则无法对其响应。
    DNS FLood的防御原理也类似,Anti会先向源回应DNS Reply报文,看源是否正常回应。
  4. 应用层认证
    用于防范虚假源发起的应用层攻击,如HTTP/HTTPS Flood、SIP Flood等。与传输层的防御原理由相似之处,也是Anti作为“中介”回应源的请求,并要求源重定向到新的URL,或者输入验证码,以此验证客户真实性。
  5. 会话分析
    基于会话检查并防范会话类攻击,如ACK Flood、FIN/RST Flood、DNS缓存投毒等。ACK、FIN、RST等都是TCP交互过程中的后续报文,Anti先为真实客户的首包SYN建立会话,然后可以效仿防火墙对这些报文进行会话匹配检查,真实客户的这些报文肯定能匹配上会话。
  6. 行为分析
    僵尸网络发起的攻击流量和用户访问行为是不同的,僵尸网络最大特征是访问频率恒定、访问资源固定、访问行为模式固定。因此可以基于行为分析来防御各种慢速攻击。
  7. 智能限速
    采用各类协议精细化限速使得流量都处于安全的带宽范围内。
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,123评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,031评论 2 384
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,723评论 0 345
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,357评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,412评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,760评论 1 289
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,904评论 3 405
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,672评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,118评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,456评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,599评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,264评论 4 328
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,857评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,731评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,956评论 1 264
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,286评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,465评论 2 348

推荐阅读更多精彩内容