DDoS防御发展历程DDoS(DistributedDenialofService,分布式拒绝服务)主要通过大量合法请求占用大量网络资源,使合法用户无法获得服务响应是最强大和最难防御的网络攻击之一。DDoS是一种古老的攻击方式,它的防御方式经历了多个发展阶段:1、内核优化初期,没有专业的DDoS防御防护和清洗设备。当时互联网的带宽比较小,很多人都是用56K的调制解调器拨号上网,攻击者可以利用的带宽比较小。对于防御者来说,通过优化内核参数和iptables基本可以解决攻击。有能力开发内核的也可以编写内核保护模块来提高保护能力。这期间使用Linux自身提供的功能基本可以防御DDoS攻击。例如针对SYNFLOOD攻击,调整net.ipv4.tcp_max_syn_backlog参数控制半连接队列上限避免连接被占满,调整net.ipv4.tcp_tw_recycle、net.ipv4.tcp_fin_timeout控制tcp状态维持TIME-WAIT,FIN-WAIT-2为连接数;针对ICMPFLOOD攻击,控制IPTABLES关闭并限制ping报文的速率,还可以过滤掉不符合RFC协议规范的畸形报文。但是,此方法仅优化单个服务器。随着攻击资源和强度的逐渐增加,这种保护方式就显得力不从心了。2、专业抗DDoS硬件防火墙专业抗DDoS硬件防火墙对功耗、转发芯片、操作系统等部分进行优化,满足DDoS流??量清洗需求。一般IDC服务商会采购抗DDoS硬件防火墙,部署在机房入口处,为整个机房提供清洗服务。这些清洗盒的性能从单一的100M逐渐发展到1Gbps、10Gbps、20Gbps、100Gbps甚至更高的性能,提供的清洗功能也基本覆盖了3-7层的各种攻击(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等)。这种方式对于IDC服务商来说成本非常高。每个机房的入口都需要用保洁设备覆盖,需要专业的运维人员进行维护。而且,并不是每一个IDC机房都能做到同样的清洁防护。容量方面,一些小型机房上行带宽可能只有20G,不具备复用这些清洗设备的能力。3、云时代抗DDoS高防IP保护方案云时代,业务部署在各种云上,或者部署在传统的IDC机房,它们提供的DDoS基础清洗服务标准并不一致。,托管所在的机房无法提供相应的防护能力。不得已,为了保护自己的服务不受影响,就会出现“黑洞”的概念。黑洞是指当服务器的攻击流量超过IDC机房的黑洞阈值时,IDC机房将封锁服务器的外网访问,防止攻击继续,影响整体计算机的稳定性房间。在这种情况下,高防IP通过搭建各种大带宽机房,提供一整套DDoS解决方案,将流量转移到高防IP进行防护,然后将清洗后的流量转发回给用户真正的源头.这种方式会复用机房资源,专业的机房做专业的事。简化DDoS防护的复杂性,以SaaS方式提供DDoS清洗服务。从硬件防火墙的大型集群服务器可以看出,云时代的抗DDoS高防IP不仅可以满足大宽带的刚性需求,还具有隐藏源站的优势用户并能够灵活更换清洁服务提供商。Anti-DDoSPro的关键组成1.带宽&网络带宽&网络是DDoS防护的第一要求。首先要做的就是要有一个高带宽的机房。目前国内主流机房主要有电信单线机房、联通单线机房、移动单线机房和BGP多线机房。单线机房和BGP多线机房有什么特点和区别?另一个维度是带宽的上限。目前国内的DDoS高防IP,300Gbps的防护能力属于入门级,1Tbps的防护能力更是无限抗。越来越多的解决方案出现在用户的选择中。2、大流量清洗集群这是另一个关键技术。DDoS清洗的核心部分是拦截攻击流量。一般的攻击类型和对策体系如下:(1)攻击防护:在带宽资源充足的情况下,如何清洗DDoS攻击流量是下一步要考虑的问题。一般来说,主要的保护方式有几类:畸形包、特定协议的丢弃;源弹跳认证系统;统计速度限制和行为识别。攻击类型一般包括SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等。丢弃畸形报文和特定协议非常简单,即不符合RFC协议规范和反射攻击的报文可以通过指定的特性进行防护。Sourcebounce认证是一种防止synflood的保护方法。一般采用反向验证保护方式,如syncookie,即清洗设备对服务器的访问源进行真实性验证。发送消息时,使用特殊算法生成序列号。该算法考虑了对方的IP、端口、自己的IP、端口固定信息等各种信息,在ack报文时进行确认。如果是真正的访客,就让流量过去吧。同理,复杂的CC攻击可以通过跳出一张图片验证码来验证攻击者是否为真实客户。统计限速&行为识别这里会综合各种黑白名单、用户访问速率、行为进行速率控制保护。(2)集群架构:在当前DDoS防护的趋势下,防护必须具备弹性扩展的能力,才能对抗攻击防御的趋势。另外,这里也会提到100G端口的普及。一般来说,流量的负载均衡是根据负载均衡hash中五元组的特征来进行的。如果单个端口的带宽比较小(10G或者40G),那么一旦攻击流量的五元组的hash不均匀,它们就会有较大的拥塞,并且流量根本不会被发送到清洗设备引擎。这也是大集群清洗系统的一个重点。(3)运营体系:DDoS反制运营也是非常关键的一环,需要多年的实时反制经验。面对一些新的攻击和突发事件,快速分析和决策是解决问题的关键一环。3.负载均衡设备&安全组件负载均衡技术是ProxyAnti-Advanced的关键技术,包括4层负载均衡和7层负载均衡。四层负载均衡技术,为每个客户业务提供专属IP。其自身的转发能力必须是高性能、高可用的,还必须具备安全防护能力,以抵御连接型攻击。七层负载均衡技术、网站业务的代理和防护、对HTTP/HTTPS协议的支持、对各种CC攻击的防护,都将集成在七层负载均衡系统中。独家IP。好处是如果一个服务IP被DDoS攻击,其他服务不会受到影响,资源隔离。高度可用和可扩展。根据应用负载进行弹性扩容,在流量波动情况下对外服务不中断。根据业务的需要,可以随时增减后端服务器的数量,以扩展应用的服务能力。安全能力。结合进/出双向流量信息,提供细粒度、域级和会话级的应用级DDoS防护。深入开发4层和7层安全功能,上下游协同,各取所长,配合大流量清洗集群,做到极致防护。4.数据实时分析系统(1)流量分析首先是数据来源。有许多数据源机制。比较熟悉的是使用NetFlow进行采样分析和攻击检测。也可以通过1:1拆分拆分得到所有的流量统计和检测,可见1:1分光法需要更高的资源和更高效的数据分析系统,需要研发能力和技术支持的也会取得更好的效果。(2)应用程序识别在获得原始数据包和数据后,需要做的是对应用程序进行区分。应用可以在IP层级、IP+端口层级、域名层级进行区分。不同业务的防御方式不同,需要根据业务特点制定专业的防御方案。(3)攻击分析目前,DDoS攻击分析已经摆脱了以往基于统计的分析算法,引入了行为识别和机器学习的理论与实践。这些算法帮助我们更好地抵御攻击。我们还应该关注如何将这些算法有效地应用到用户的实时防御中。综上所述,DDoS攻击防护存在木桶短板原理,任何一个攻击防护点的效果都会影响整体防御效果。未来的抗DDoS高防IP应具备弹性带宽、高冗余、高可用性、接入质量优良、业务接入简单等特点。同时,通过DDoS防护能力的OPENAPI和用户自动化运维系统的开放,实现安全与业务的结合,更好的助力业务发展。
