近年来已经发生了多起针对全球型机构大规模的 DDoS 攻击事情,使得 DDoS 攻击又重新回到了大众的视野中来,引起了轩然大波。虽说大型机构都按照要求建立了本地以及运营商级的 DDOS 攻击检测清洗服务,但随着网联网的快速发展,同时攻击成本的不断降低,使得新型的攻击手法频出不断,甚至一度让 DDOS 攻击形成了一个产业链,让诸多互联网类业务遭受到极大的威胁。小墨通过多年的网络安全运维经验及对 DDOS 攻击的基本理解,给大家说一下流量型攻击的基本防护思路。
1. 本地 DDos 防护设备。一般恶意组织发起 DDos 攻击时,率先感知并起作用的一般为本地数据中心内的 DDos 防护设备,金融机构本地防护设备较多采用旁路镜像部署方式。本地 DDos 防护设备一般分为 DDos 检测设备、清洗设备和管理中心。首先,DDos 检测设备日常通过流量基线自学习方式,按各种和防御有关的维度,比如 syn 报文速率、http 访问速率等进行统计,形成流量模型基线,从而生成防御阈值。学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。由管理中心下发引流策略到清洗设备,启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后,为防止流量再次引流至 DDos 清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。
2. 运营商清洗服务。当流量型攻击的攻击流量超出互联网链路带宽或本地 DDos 清洗设备性能不足以应对 DDos 流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗,运营商通过各级 DDos 防护设备以清洗服务的方式帮助用户解决带宽消耗型的 DDos 攻击行为。实践证明,运营商清洗服务在应对流量型 DDos 攻击时较为有效。
3. 云清洗服务。当运营商 DDos 流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。具备适用场景的可以考虑利用 CNAME 或域名方式,将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗 D 能力。