T級攻擊態(tài)勢下解析DDOS高防IP系統(tǒng)架構(gòu)

DDoS(Distributed Denial of Service，分布式拒絕服務(wù))主要通過大量合法的請求占用大量網(wǎng)絡(luò)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，是目前最強(qiáng)大、最難防御的網(wǎng)絡(luò)攻擊之一。

10余年專注成都網(wǎng)站制作，企業(yè)網(wǎng)站制作，個(gè)人網(wǎng)站制作服務(wù)，為大家分享網(wǎng)站制作知識、方案，網(wǎng)站設(shè)計(jì)流程、步驟,成功服務(wù)上千家企業(yè)。為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計(jì)及定制高端網(wǎng)站建設(shè)服務(wù),專注于企業(yè)網(wǎng)站制作,高端網(wǎng)頁制作,對成都生料攪拌車等多個(gè)方面，擁有多年的網(wǎng)站維護(hù)經(jīng)驗(yàn)。

DDoS作為一種古老的攻擊方式，其防御方式也經(jīng)歷了多個(gè)發(fā)展階段：

1. 內(nèi)核優(yōu)化時(shí)代

在早期時(shí)代，沒有專業(yè)的防護(hù)清洗設(shè)備來進(jìn)行DDoS防御，當(dāng)時(shí)互聯(lián)網(wǎng)的帶寬也比較小，很多人都是在用56K的modem撥號上網(wǎng)，攻擊者可以利用的帶寬也相對比較小，對于防御者來說，一般通過內(nèi)核參數(shù)優(yōu)化、iptables就能基本解決攻擊，有內(nèi)核開發(fā)能力的人還可以通過寫內(nèi)核防護(hù)模塊來提升防護(hù)能力。

在這個(gè)時(shí)期，利用Linux本身提供的功能就可以基本防御DDoS攻擊。比如針對SYN FLOOD攻擊，調(diào)整net.ipv4.tcp_max_syn_backlog參數(shù)控制半連接隊(duì)列上限，避免連接被打滿，調(diào)整net.ipv4.tcp_tw_recycle，net.ipv4.tcp_fin_timeout來控制tcp狀態(tài)保持在TIME-WAIT，F(xiàn)IN-WAIT-2的連接個(gè)數(shù);針對ICMP FLOOD攻擊，控制IPTABLES來關(guān)閉和限制ping報(bào)文的速率，也可以過濾掉不符合RFC協(xié)議規(guī)范的畸形報(bào)文。但是這種方式只是在優(yōu)化單臺服務(wù)器，隨著攻擊資源和力度的逐漸增強(qiáng)，這種防護(hù)方式就顯得力不從心了。

2. 專業(yè)anti-DDoS硬件防火墻

專業(yè)anti-DDoS硬件防火墻對功耗、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等各個(gè)部分都進(jìn)行了優(yōu)化，用來滿足DDoS流量清洗的訴求。 一般IDC服務(wù)提供商會購買anti-DDoS硬件防火墻，部署在機(jī)房入口處為整個(gè)機(jī)房提供清洗服務(wù)，這些清洗盒子的性能從單臺百兆的性能，逐步發(fā)展到1Gbps、10Gbps、20Gbps、100Gbps或者更高，所提供的清洗功能也基本涵蓋了3-7層的各種攻擊(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等)。

這種方式對IDC服務(wù)商來講有相當(dāng)高的成本，每個(gè)機(jī)房入口都需要有清洗設(shè)備覆蓋，要有專業(yè)的運(yùn)維人員來維護(hù)，而且并不是每個(gè)IDC機(jī)房都可以有同等的清洗防護(hù)能力，有的小機(jī)房上聯(lián)可能只有20G帶寬，且不具備復(fù)用這些清洗設(shè)備的能力。

3. 云時(shí)代的DDoS高防IP防護(hù)方案

在云時(shí)代，服務(wù)部署在各種云上，或者傳統(tǒng)的IDC機(jī)房里面，他們提供的DDoS基礎(chǔ)清洗服務(wù)標(biāo)準(zhǔn)并不一致，在遭受到超大流量DDoS攻擊情況下，托管所在的機(jī)房并不能提供對應(yīng)的防護(hù)能力，不得已，為了保護(hù)他們的服務(wù)不受影響，就會有“黑洞”的概念產(chǎn)生。黑洞是指服務(wù)器受攻擊流量超過IDC機(jī)房黑洞閾值時(shí)，IDC機(jī)房會屏蔽服務(wù)器的外網(wǎng)訪問，避免攻擊持續(xù)，影響整體機(jī)房的穩(wěn)定性。

在這種情況下，DDoS高防IP是通過建立各種大帶寬的機(jī)房，提供整套的DDoS解決方案，將流量轉(zhuǎn)到DDoS高防IP上進(jìn)行防護(hù)，然后再把清洗后的干凈流量轉(zhuǎn)發(fā)回用戶真正的源站。這種方式會復(fù)用機(jī)房資源，專業(yè)機(jī)房做專業(yè)的事情。簡化DDoS防護(hù)的復(fù)雜度，以SaaS化的方式提供DDoS清洗服務(wù)。

硬件防火墻

大規(guī)模集群服務(wù)器

由此可以看出，云時(shí)代的DDoS高防IP不僅可以滿足對大寬帶的剛性需求，而且對用戶來說具有隱藏源站、可以靈活更換清洗服務(wù)商的優(yōu)勢。

DDoS高防IP系統(tǒng)關(guān)鍵組成

1. 帶寬&網(wǎng)絡(luò)

帶寬&網(wǎng)絡(luò)是DDoS防護(hù)的第一訴求，首先要做的就是擁有一個(gè)高帶寬的機(jī)房。目前國內(nèi)主流機(jī)房主要為電信單線機(jī)房、聯(lián)通單線機(jī)房、移動(dòng)單線機(jī)房和BGP多線機(jī)房。

單線機(jī)房和BGP多線機(jī)房的特點(diǎn)以及差別是什么呢?

另外一個(gè)維度就是帶寬上限，目前對于國內(nèi)DDoS高防IP來說，300Gbps的防護(hù)能力都是入門級別的，1Tbps的防護(hù)能力乃至無限抗的解決方案越來越多的出現(xiàn)用戶的選擇中。

2. 大流量清洗集群

這是另外一個(gè)關(guān)鍵技術(shù)。DDoS清洗的核心部分是將攻擊流量攔截下來。一般攻擊種類和對抗體系有以下幾種：

(1) 攻擊防護(hù)：在帶寬資源足夠的條件下，如何對DDoS攻擊流量清洗是下一步需要考慮的，一般來說，專業(yè)的DDoS清洗防護(hù)設(shè)備的主要防護(hù)方法包括幾類：畸形包、特定協(xié)議丟棄;源反彈認(rèn)證體系;統(tǒng)計(jì)限速&行為識別。攻擊類型一般有SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等等。

畸形包、特定協(xié)議丟棄很簡單，即對于不符合RFC協(xié)議規(guī)范的報(bào)文、反射類攻擊都可以用指定特征的方式進(jìn)行防護(hù)。

源反彈認(rèn)證是針對syn flood的防護(hù)方法，一般采用反向驗(yàn)證的防護(hù)方法，如syn cookie，即清洗設(shè)備替服務(wù)端校驗(yàn)訪問源的真實(shí)性，方法是在TCP三次握手中，在回復(fù)synack報(bào)文的時(shí)候，使用一種特殊的算法生成Sequence Number，這種算法考慮到了對方的IP、端口、己方IP、端口的固定信息等多種信息，并在ack報(bào)文的時(shí)候確認(rèn)。如果是真實(shí)訪問者，放行流量。同理，復(fù)雜的CC攻擊可以用反彈一個(gè)圖片驗(yàn)證碼的方式校驗(yàn)攻擊者是否為真實(shí)客戶。

統(tǒng)計(jì)限速&行為識別這里就會綜合各種黑白名單，用戶訪問速率、行為，進(jìn)行一個(gè)速率控制的防護(hù)。

(2) 集群架構(gòu)：在目前的DDoS防護(hù)趨勢下，防護(hù)必須有彈性擴(kuò)容的能力，才可以跟進(jìn)攻防對抗的趨勢。另外這里還會提到100G口的普及。一般來說流量的負(fù)載均衡是根據(jù)五元組里面的特征進(jìn)行負(fù)載均衡hash的，如果單口的帶寬比較小(10G or 40G)，那么一旦攻擊流量的五元組的hash不均勻，他們有更大的幾率會擁塞，流量根本就不會送到清洗設(shè)備引擎上去。這個(gè)也是大集群清洗體系比較重要的一點(diǎn)。

(3) 運(yùn)營體系：DDoS對抗運(yùn)營也是非常關(guān)鍵的一環(huán)，需要多年實(shí)時(shí)對抗的經(jīng)驗(yàn)積累，在面對一些新型攻擊及突發(fā)情況時(shí)，快速的分析和決策是解決問題的一個(gè)關(guān)鍵部分。

3. 負(fù)載均衡設(shè)備&安全組件

負(fù)載均衡技術(shù)是代理高防的關(guān)鍵技術(shù)，這里面包括4層負(fù)載均衡和7層負(fù)載均衡。

4層負(fù)載均衡技術(shù)，為每一個(gè)客戶業(yè)務(wù)提供一個(gè)獨(dú)享的IP，本身的轉(zhuǎn)發(fā)能力要高性能、高可用性，同時(shí)還要具備安全防護(hù)能力，能夠?qū)惯B接型攻擊。

7層負(fù)載均衡技術(shù)，針對網(wǎng)站類業(yè)務(wù)的代理和防護(hù)，對HTTP/HTTPS協(xié)議的支持，各種CC攻擊的防護(hù)，都會集成在7層負(fù)載均衡的系統(tǒng)里面。

• 獨(dú)享IP。優(yōu)點(diǎn)就是一個(gè)業(yè)務(wù)IP被DDoS攻擊，不會影響其他的業(yè)務(wù)，資源隔離。
• 高可用，可擴(kuò)展。根據(jù)應(yīng)用負(fù)載進(jìn)行彈性擴(kuò)容，在流量波動(dòng)情況下不中斷對外服務(wù)。可以根據(jù)業(yè)務(wù)的需要，隨時(shí)增加或減少后端服務(wù)器的數(shù)量，擴(kuò)展應(yīng)用的服務(wù)能力。
• 安全能力。具備in/out雙向流量信息，可以提供精細(xì)化、域名級別、session級別的應(yīng)用級別DDoS防護(hù)。

對4層和7層進(jìn)行深度開發(fā)安全功能，上下游配合，各取所長，配合大流量清洗集群才能將防護(hù)做到極致。

4. 數(shù)據(jù)實(shí)時(shí)分析系統(tǒng)

(1) 流量分析

首先是數(shù)據(jù)源，數(shù)據(jù)源機(jī)制有很多種，比較熟知的是利用NetFlow進(jìn)行采樣分析攻擊檢測，也可以通過1:1分光分流的方式獲取全部流量統(tǒng)計(jì)檢測，很明顯1:1分光的方式需要更高的資源和更高效的數(shù)據(jù)分析系統(tǒng)，需要研發(fā)能力和技術(shù)支撐的，也會取得更佳的效果。

(2) 應(yīng)用識別

拿到原始報(bào)文和數(shù)據(jù)后，需要做的就是區(qū)分應(yīng)用了。應(yīng)用的區(qū)分可以是IP級別，可以是IP+端口級別，也可以是域名級別等。不同業(yè)務(wù)的防御方法是有差別的，需要做到根據(jù)業(yè)務(wù)特性來制定專業(yè)的防御方案。

(3) 攻擊分析

目前DDoS的攻擊分析已經(jīng)擺脫了以前基于統(tǒng)計(jì)的分析算法，引入了行為識別、機(jī)器學(xué)習(xí)的理論和實(shí)踐，而這些算法都幫助我們能更好對攻擊進(jìn)行防護(hù)，我們還應(yīng)該關(guān)注如何將這些算法有效的實(shí)時(shí)應(yīng)用到用戶的防御對抗中。

綜上來看，DDoS攻擊防護(hù)存在木桶短板原理，任何一個(gè)攻擊防護(hù)點(diǎn)的效果都會影響到整體的防御效果。未來的DDoS高防IP應(yīng)該具備彈性帶寬、高冗余、高可用、訪問質(zhì)量優(yōu)、業(yè)務(wù)接入簡單的特點(diǎn)。同時(shí)通過DDoS防護(hù)能力的OPENAPI化，和用戶自動(dòng)化運(yùn)維體系的打通，實(shí)現(xiàn)安全和業(yè)務(wù)結(jié)合，以更好的助力業(yè)務(wù)發(fā)展。

創(chuàng)新互聯(lián)建站美國自建機(jī)房為解決客服頻繁遭遇攻擊問題，防御全面升級， 精品線路（CN2直連、CM直連、CU直連）、大陸優(yōu)化線路（163電信直連、CM移動(dòng)直連、HE、GTT、NTT、TELIA）國際BGP（HE、NTT、GTT、TELIA、CONGENT）均接入最高500G DDOS防御。

聯(lián)系QQ:576791973

當(dāng)前題目：T級攻擊態(tài)勢下解析DDOS高防IP系統(tǒng)架構(gòu)
網(wǎng)頁URL：http://muchs.cn/article26/siicg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、品牌網(wǎng)站制作、定制開發(fā)、移動(dòng)網(wǎng)站建設(shè)、關(guān)鍵詞優(yōu)化、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)