DDoS攻擊該如何解決

本篇文章為大家展示了DDoS攻擊該如何解決，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

網(wǎng)絡安全始終是人們討論的熱點話題，對于互聯(lián)網(wǎng)企業(yè)而言：無安全、無生存。

在攻擊日益泛濫的今天，如何保障企業(yè)安全成為了大家研究的熱點。

網(wǎng)絡安全現(xiàn)狀

當前的安全威脅問題歸類為三方面：服務穩(wěn)定性安全、數(shù)據(jù)安全和運營安全。

一是服務穩(wěn)定可靠性：一方面取決于信息系統(tǒng)自身的穩(wěn)定可靠性，特別是信息系統(tǒng)云化之后，影響因素增多。如：虛擬機性能、虛擬機的遷移機制、網(wǎng)絡鏈路冗余、信息系統(tǒng)災備機制等；另外一方面來自于外部的攻擊的影響，如DDoS攻擊，DNS域名劫持等，兩方面因素綜合決定了系統(tǒng)服務的穩(wěn)定可靠性。

二是數(shù)據(jù)安全：數(shù)據(jù)安全問題主要集中在數(shù)據(jù)的泄露和數(shù)據(jù)的篡改兩個方面，近期發(fā)生的Facebook用戶數(shù)據(jù)泄露問題，體現(xiàn)了數(shù)據(jù)泄露的危害與嚴重性。事件原因主要是與其他公司合作，對于數(shù)據(jù)銷毀環(huán)節(jié)未加以驗證，導致了合作方泄露數(shù)據(jù)的后果，給Facebook帶來了史無前例的企業(yè)生存問題，引起更多互聯(lián)網(wǎng)企業(yè)對數(shù)據(jù)保護的重視。此事也充分體現(xiàn)了企業(yè)安全的“三分技術、七分管理”的道理，除了內部管理機制或人員問題導致的數(shù)據(jù)泄露問題，外部的網(wǎng)絡攻擊帶來的危害也是不容忽視。常見的WEB應用攻擊、系統(tǒng)級別的漏洞利用，以及愈加復雜的具有針對性的APT攻擊等，都給企業(yè)的生存、運營，甚至國家安全帶來嚴重危害。

三是運營安全：釣魚網(wǎng)站、山寨應用、垃圾內容，這些問題嚴重影響了用戶的體驗，危及用戶的利益，給企業(yè)造成聲譽危害及盈利的損害。

DDoS攻擊現(xiàn)狀

從統(tǒng)計的數(shù)據(jù)中可以看到DDoS攻擊的幾個特點：

1.   南方遭受的DDoS攻擊較多，其中浙江省遭受的攻擊最多；

2.   電信線路DDoS攻擊規(guī)模較大，動輒達到TB級別；

3.   攻擊的時長上，三分之二的DDoS攻擊持續(xù)時間小于10分鐘，而持續(xù)時間在10分鐘至1小時的攻擊占比約30.5%，不到0.1%的攻擊時長在一個小時之上。

為什么DDoS攻擊如此猖獗？

第一， 攻擊利益鏈成熟，攻擊成本越來越低。DDoS攻擊地下產業(yè)鏈可以提供一整套的完善的服務，包含各種套餐，其中一個月幾十元就可以購買到DDoS攻擊服務。

第二， 攻擊流量規(guī)模逐年增大一方面是由于個人、企業(yè)的帶寬都在增加，另一方面智能家居、物聯(lián)網(wǎng)設備的大量使用，薄弱的安全防護給力攻擊者更多可利用的機會，容易形成大規(guī)模的攻擊設備集群。

第三， 難溯源。因為從攻擊指令發(fā)出端，到實際攻擊的服務器，中間可能經過了數(shù)道跳轉，再加上IP偽造等技術，查到攻擊源頭非常困難。對于攻擊者來說，現(xiàn)在基本上就是有恃無恐。想做到“溯源追兇”，需要投入極高的成本，并且需要經驗豐富的攻防專家或團隊來完成。對于被攻擊者來說，基本上只能被動防護。

故事解析：Memcache反射性攻擊

故事主角——Memcache服務器。本身這個服務器是企業(yè)的應用系統(tǒng)對于數(shù)據(jù)訪問的一些內容的緩存，以加快響應速度。

從管理角度出發(fā)，Memcache服務器作為內網(wǎng)應用的服務器，不應該暴露于公網(wǎng)之中。但還是有很多公司的運維管理者為了運維的方便，通過公網(wǎng)進行管理，這是利用Memcache進行DDoS攻擊的基本前提。

另一個關鍵因素是Memcache服務器，不存在身份驗證的環(huán)節(jié)，任何人掃描到IP和端口，就可以訪問。完成攻擊的最核心的因素，是memcache訪問的協(xié)議，請求memcache服務器之后，回復的數(shù)據(jù)的大小遠高于請求的數(shù)據(jù)大小，形成了放大的效果，攻擊者利用memcache服務器，偽造源IP，最后形成了反射放大型的DDoS攻擊，攻擊量達到5W倍，這樣，一個超大規(guī)模的DDoS攻擊方法就形成了，典型的事件是：GitHub遭受了超過T級的memcache服務器的反射放大型DDoS攻擊。

值得注意的是，Memcache攻擊，規(guī)模如此之大，但是它只是新興的一種攻擊手段。從DDoS的全部數(shù)據(jù)來看，它的占比不到百分之一。更多的還是一些已經的攻擊手段，比如DNS反射性攻擊、SSDP攻擊（是利用物聯(lián)網(wǎng)設備的1900端口進行反射性攻擊）。

如何解決Memcache反射性攻擊？

從Memcache服務器的規(guī)模分布來看，國內有超過2W臺的可利用的Memcache服務器，全球有超過10W臺的Memcache服務器。從影響規(guī)模來看，解決Memcache服務器反射性攻擊問題已經刻不容緩了。

在分享中網(wǎng)易云易盾的產品架構師高洪亮建議，從預防階段來看，需要Memcache服務器的運維管理者，關閉被利用的11211端口，將memcache服務器放置內網(wǎng)之中以避免被利用。但是，這個也不可能完全杜絕此類事件的發(fā)生，畢竟有人為因素在，互聯(lián)網(wǎng)上還是會存在可被利用的設備。那么對于對于已經形成的攻擊，受攻擊者可以利用云清洗服務進行防護。

DDoS攻擊分類及防護情況

攻擊分類：

DDoS攻擊的分型，從效果上來看，可以分為兩種。第一種，消耗帶寬資源的。典型的就是反射性的流量攻擊。

第二種，就是耗盡服務器的資源的：服務器的連接數(shù)、服務器的CPU、提供域名解析的DNS服務器。都屬于資源，通過占用服務器資源，使服務器無法對外提供服務，從而達到攻擊效果。典型的如CC攻擊，或者對DNS服務器，大規(guī)模查詢不存在的網(wǎng)址以消耗DNS服務器的資源，從而形成間接的對服務器的攻擊。

防護情況：

對于DDoS攻擊，國內目前來看，防護手段不外乎三種：本地化部署安全設備、云端流量清洗、移動運營商的清洗系統(tǒng)及路由黑洞策略。

三種防護方法，從投入成本，適用場景，來看均有所不同。所以用戶還需要根據(jù)自身的情況來選擇合適的防護方案。

網(wǎng)易云易盾是如何解決這一難題的？

網(wǎng)易云抗D三部曲：

1.   網(wǎng)易在電信、聯(lián)通、移動大區(qū)入口部署了高防清洗集群；

2.   高防客戶的業(yè)務流量，先引流到網(wǎng)易云高防機房進行清洗防護；

3.   清洗完成后，用戶的業(yè)務流量，可通過高防IP轉發(fā)回客戶源站服務器。

接入云抗D之前，用戶是直接訪問服務系統(tǒng)。接入云抗D之后，訪問數(shù)據(jù)先到易盾的云清洗的高防機房，流量經過清洗之后，高防機房將正常的業(yè)務流量再回傳給實際的服務器。

這里有兩個前提，首先防護的業(yè)務是通過域名來訪問的，第二，就是上了高防業(yè)務之后，用戶系統(tǒng)實際的IP要對外隱藏，避免攻擊方繞過云清洗系統(tǒng)直接攻擊IP。

在實際的防護過程中，流量要經過數(shù)道清洗。在檢測的方式上，主要是通過閾值和數(shù)據(jù)特征以及行為分析等算法模型來進行檢測，如：客戶端真實性驗證等、黑名單、ACL管控、流量限速的方式。

網(wǎng)易云易盾云抗D服務，對于四層攻擊、七層攻擊，能夠進行全面的檢測和防護。在策略配置上，預置有多套模板，可以根據(jù)業(yè)務具體情況來進行針對性的配置，并且支持向導性配置。在業(yè)務流量狀態(tài)展示上，支持多種維度的圖形界面展示。

在整體的防護能力上，目前網(wǎng)易云易盾，支持三線運營商的業(yè)務防護。提供1T的超大帶寬防護，SLA可用性達到99.9%。

業(yè)務接入抗D后，延遲時間在100MS以內。

業(yè)務接入上，我們支持網(wǎng)易云客戶和非網(wǎng)易云客戶，并且只需5分鐘就可以完成接入。一般分為四步：

1.  在易盾控制臺購買高防IP，選擇聯(lián)通/電信/移動線路；

2.  對高防IP配置轉發(fā)規(guī)則，將清洗后的流量轉發(fā)到源站IP；

3.  配置防護策略；

4.  切換業(yè)務DNS指向高防IP。

網(wǎng)易云易盾領先在哪里？

DDoS防護：可對畸形包進行有效攔截，抵御SYNFlood、ACK Flood、ICMPFlood、UDP Flood、NTP Flood 、SSDPFlood、DNS Flood等4層攻擊。

CC防護：通過JS驗證、瀏覽器指紋、ACL等技術有效抵御CC攻擊、HTTPFlood等7層攻擊。

容器隔離：針對不同高防IP分配獨立的清洗容器，不同容器間相互隔離，保障不同高防IP間互不影響。

彈性防護：選擇彈性防護后，當受到的攻擊超過基礎防護峰值時，業(yè)務仍將繼續(xù)得到網(wǎng)易云易盾的防護。

上述內容就是DDoS攻擊該如何解決，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業(yè)資訊頻道。