乐趣区

带你了解DDOS防御中流量清洗的技术方法

遇见 DDoS 攻击的时,目前的防护技术中避免不了的会出现流量清洗过滤等词,客户都会很疑惑流量清洗,是怎么清洗的,会不会把正常的访问请求一起过滤清洗掉呢?这是站在客户角度最关心的一个问题,这种想法很正常,因为谁都不想损失客户嘛。那接下来分享下 DDoS 防御中流量清洗的技术方法吧。

流量清洗的意思是全部的网络流量中区分出正常的流量和恶意的流量,将恶意流量阻断和丢弃,而只将正常的流量回源给源服务器。墨者安全一般建议选择优秀的流量清洗设备。有些漏报率太高的,对大量的正常请求过程中会造成中断,有可能会影响到业务的正常运行,相当于优秀的清洗设备,可以降低漏报率以及误报率,在不影响业务正常运行的情况下可以将恶意攻击流量最大化的从网络流量中去除。但是做到这一步需要用到准确而高效的清洗技术。如:

1、攻击特征的匹配:在发动 DDoS 攻击过程中是需要借助一些攻击工具的,比如僵尸网络等。同时网络犯罪分子为了提高发送请求的效率,攻击工具发出的数据包通常是编写者伪造并固化到工具当中的。因此每种攻击工具所发出的数据包都有一些特征存在。那么流量清洗技术将会利用这些数据包中的特征作为指纹依据,通过静态指纹技术或者是动态指纹技术识别攻击流量。静态指纹识别的原理是预先将多种攻击工具的指纹特征保存在流量清洗设备中的数据库,因此所有的访问数据都会先进行内部数据库比对,如果是符合的会选择直接丢弃。动态指纹识别清洗设备对流过的网络数据包进行若干个数据包学习,然后将攻击特征记录下来,后续有访问数据命中这些特征的直接丢弃。

2、IP 信誉检查:IP 信誉机制是互联网上的 IP 地址赋予一定的信誉值. 有一些经常用来当作僵尸主机的,会发送垃圾邮件或被用来做 DDOS 攻击的 IP 地址。会被赋予较低的信誉值. 说明这些 IP 地址可能成为网络攻击的来源。所以当发生 DDOS 攻击的时候会对网络流量中的 IP 信誉检查,所以在清洗的时候会优先丢弃信誉低的 IP,一般 IP 信誉检查的极端情况是 IP 黑名单机制。

3. 协议完整性验证:为提高发送攻击请求的效率,大多数的都是只发送攻击请求,而不接收服务器响应的数据。因此. 如果采取对请求来源进行交替严重,就可以检测到请求来源协议的完整性,然后在对其不完整的请求来源丢弃处理。在 DNS 解析的过程中,攻击方的工具不接收解析请求的响应数据,所以不会用 TCP 端口进行连接。所有流量清洗设备会利用这种方式区分合法用户与攻击方,拦截恶意的 DNS 攻击请求。这种验证方式也适用于 HTTP 协议的 Web 服务器。主要是利用 HTTP 协议中的 302 重定向来验证请求,确认来源是否接收了响应数据并完整实现了 HTTP 协议的功能。正常的合法用户在接收到 302 重定向后会顺着跳转地址寻找对应的资源。而攻击者的攻击工具不接收响应数据,则不会进行跳转,直接会被清洗拦截,WEB 服务器也不会受到任何影响。

针对精准的流量清洗还需要很多种的精确技术,比如速度检查与限制、协议代理和验证、客户端真实性验证等技术方法。因为时间原因,剩下的三种方法后续分享给大家。

退出移动版