就目前防御DDoS的方式来说,主要是两个方面,小流量攻击可以在企业本地进行设备防护,大流量攻击可以交给运营商及云端清洗。这个分界点根据行业及业务特性的不同会有所差异,大概的量级应该在百兆BPS左右。
我们知道DDoS攻击是通过各种手段消耗网络带宽和系统CPU、内存、连接数等资源,直接造成网络带宽耗尽或系统资源耗尽,使得该目标系统无法为正常用户提供业务服务,从而导致拒绝服务。异常流量清洗方式主要有三种:
首先是本地DDoS防护设备。一般恶意组织发起DDoS攻击时,率先感知并起作用的一般为本地数据中心内的DDoS防护设备,一般分为DDoS检测设备、清洗设备和管理中心。DDoS检测设备日常通过流量基线自学习方式,按各种和防御有关的维度进行统计,形成流量模型基线,从而生成防御阈值。学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。由管理中心下发引流策略到清洗设备,启动引流清洗。
异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后,为防止流量再次引流至DDoS清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。
其次是运营商清洗服务。当流量型攻击的攻击流量超出互联网链路带宽或本地DDoS清洗设备性能不足以防御DDoS流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。运营商通过各级DDoS防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDoS攻击行为。实践证明,运营商清洗服务在应对流量型DDoS攻击时较为有效。
最后是云清洗服务。当运营商DDoS流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。具备适用场景的可以考虑利用CNAME或域名方式,将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗D能力。进行这类清洗需要较大的流量路径改动,牵涉面较大,一般不建议作为日常常规防御手段。
以上三种防御方式存在共同的缺点,由于本地防御DDoS设备及运营商均不具备HTTPS加密流量解码能力,导致针对HTTPS流量的防护能力有限;同时由于运营商清洗服务多是基于Flow的方式检测DDoS攻击,且策略的颗粒度往往较粗,因此针对CC或HTTP慢速等应用层特征的DDoS攻击类型检测效果往往不够理想。
目前网络安全界应对大规模攻击最有效的防御DDoS措施就是分布式集群防御。它的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击。如果一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更深层次的安全防护角度去影响企业的安全执行决策。
对比以上四种防御DDoS方式,发现单一解决方案不能完成所有DDoS攻击清洗,因为大多数真正的DDoS攻击都是“混合”攻击(掺杂各种不同的攻击类型),所以DDoS防护也要采取综合的手段来应对这种“混合”攻击。
本文来自:https://www.zhuanqq.com/News/Industry/345.html
来源:oschina
链接:https://my.oschina.net/u/4815922/blog/4940471