Dos拒绝服务攻击通过各种方式消耗网络带宽和系统CPU、内存、连接数等资源,直接造成网络带宽或系统资源耗尽,使目标系统无法为正常用户提供业务服务.导致拒绝服务。常规的流量型DDos攻击应急防护方法,由于选择的引流技术不同,在实现上也存在差异。主要分为以下三种方法来达到分层清洗的效果。1、本地DDos防护设备一般情况下,当恶意组织发起DDos攻击时,本地数据中心的DDos防护设备最先感知并生效。金融机构本地保护设备大多采用旁路镜像部署方式。本地DDos防护设备一般分为DDos检测设备、清理设备和管理中心。首先,DDos检测设备常规采用流量基线自学习的方法,根据各种防御相关的维度:如syn包率、http访问率等进行统计,形成流量模型基线,生成防御阈值.学习结束后,继续按照基线学习的维度进行流量统计,将每秒的统计结果与防御阈值进行比较。如果超过,则视为异常,并通知管理中心。管理中心向清洗设备下发排水策略,启动排水清洗。异常流量清洗通过特征、基线、回复确认等多种方式识别和清洗攻击流量。异常流量清洗后,为了防止流量再次被引流到DDos清洗设备,可以在出口设备的重注入接口上使用策略路由,强制将重注入的流量转到内部数据中心的网络访问目标系统。2.运营商清洗服务当流量型攻击的攻击流量超过互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要使用运营商清洗服务或使用运营商临时增加带宽完成攻击流量清洗。运营商使用各级DDos防护设备,以清洗服务的形式帮助用户解决耗带宽的DDos攻击。实践证明,运营商清洗服务在应对基于流量的DDos攻击时更为有效。3、云清洗服务当运营商DDos流量清洗达不到预期效果时,可以考虑紧急启用运营商云清洗服务进行最后的摊牌。依托在运营商骨干网上分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在靠近攻击源头的运营商骨干网上进行流量清洗,提高抗攻击能力。如果有适用场景,可以考虑使用CNAME或者域名将源站解析为安全厂商的云域名,实现引流、清洗、重注入,提升抗D能力。进行此类清洗需要较大的流路变化,涉及面积较大,因此一般不推荐作为常规防御手段。综上所述,以上三种防御方式都有共同的缺点。由于本地DDos防护设备和运营商均不具备对HTTPS加密流量进行解码的能力,因此对HTTPS流量的防护能力有限;同时,运营商的保洁服务多以流量检测为主。DDos攻击,且策略的粒度往往较粗,因此针对CC或HTTP慢等应用层特征的DDos攻击类型检测效果往往不理想。对比三种方法不同的适用场景,发现单一的解决方案无法清除所有DDos攻击,因为真正的DDos攻击大多是“混合”攻击(混合各种攻击类型)。比如:以大流量反射为背景,期间夹杂着一些CC和连接耗尽,以及缓慢的攻击。这时候运营商很可能需要清理(针对流量型攻击)先清理80%以上的流量,清理链路带宽;剩下的20%,很可能80%是攻击流量(类似CC攻击,HTTP慢速攻击等),需要本地配合进一步清洗。
