随着互联网生态蓬勃发展,也催生了一系列互联网黑灰产业链,互联网的安全问题愈来愈严峻。在DDoS攻击日益泛滥的今天,如何进行DDoS防御成为了大家研究的热点,本文就DDoS攻击现状、分类、DDoS防御手段等进行了分享。
一、DDoS攻击现状
从统计分析的数据中可以看到DDoS攻击的几个特点:
1. 南方遭受的DDoS攻击较多,遭受的攻击最多省份为浙江省;
2. 电信线路DDoS攻击规模较大,动辄达到TB级别;
3. 攻击的时长上,2/3的DDoS攻击持续时间小于10分钟,持续时间在10分钟至1小时的攻击占比约30.5%,不到0.1%的攻击时长在一小时之上。
二、为什么DDoS攻击这么猖獗
1.难以溯源。因为从攻击指令发出端,到实际攻击的服务器,中间可能经过了数道跳转,再加上IP伪造等技术,查到攻击源头非常困难。对于攻击者来说,目前大部分就是肆无忌惮。想做到“溯源追凶”,都要投入极高的成本,并且都要经验丰富的攻防专家或团队来实现。对于被攻击者来说,大部分只能被动防护。
2.DDoS 攻击利益链成熟,攻击成本越来越低。DDoS攻击地下产业链提供整套的完善的服务,包含各种套餐,其中一个月几十元就可以购买到DDoS攻击服务。
3. DDoS攻击流量规模逐年增大,一方面是由于个人、企业的带宽都在增加,另一方面智能家居、物联网设备的大批量使用,薄弱的安全防护给力攻击者更多可利用的机会,很容易形成大规模的攻击设备集群。
三、DDoS攻击分类
DDoS攻击的分类,从效果上来看,可以分为两种:
第一种,消耗带宽资源的。这类攻击的目标很简单,就是通过大量请求消耗正常的带宽和协议栈处理资源的能力,从而达到服务端无法正常工作的目的。典型的就是反射性的流量攻击。
第二种,就是耗尽服务器的资源的:服务器的连接数、服务器的CPU、提供域名解析的DNS服务器。都属于资源,通过占用服务器资源,使服务器无法对外提供服务,从而达到攻击效果。典型的如CC攻击,或者对DNS服务器,大规模查询不存在的网址以消耗DNS服务器的资源,从而形成间接的对服务器的攻击。
四、DDoS防御手段
对于DDoS攻击,国内目前来看,防护手段不外乎三种:本地化部署安全设备、云端流量清洗、移动运营商的清洗系统及路由黑洞策略。三种防护方法,投入成本、适用场景均有所不同。所以用户还需要根据自身的情况来选择合适的防护方案。
五、网易易盾高效DDoS防御策略
网易易盾云抗D三部曲:
1. 网易在电信、联通、移动大区入口部署了高防清洗集群;
2. 高防客户的业务流量,先引流到网易云高防机房进行清洗防护;
3. 清洗完成后,用户的业务流量,可通过高防IP转发回客户源站服务器。
接入云抗D之前,用户是直接访问服务系统。接入云抗D之后,访问数据先到易盾的云清洗的高防机房,流量经过清洗之后,高防机房将正常的业务流量再回传给实际的服务器。
这里有两个前提,首先防护的业务是通过域名来访问的,第二,就是上了高防业务之后,用户系统实际的IP要对外隐藏,避免攻击方绕过云清洗系统直接攻击IP。
在实际的防护过程中,流量要经过数道清洗。在检测的方式上,主要是通过阈值和数据特征以及行为分析等算法模型来进行检测,如:客户端真实性验证等、黑名单、ACL管控、流量限速的方式。
网易易盾云抗D服务,对于四层攻击、七层攻击,能够进行全面的检测和防护。在策略配置上,预置有多套模板,可以根据业务具体情况来进行针对性的配置,并且支持向导性配置。在业务流量状态展示上,支持多种维度的图形界面展示。
在整体的防护能力上,目前网易易盾,支持三线运营商的业务防护。提供2T的超大带宽防护,SLA可用性达到99.9%。业务接入抗D后,延迟时间在100MS以内。
网易易盾DDoS防御优势总结:
DDoS防御:可对畸形包进行有效拦截,抵御SYN Flood、ACK Flood、ICMPFlood、UDP Flood、NTP Flood 、SSDPFlood、DNS Flood等4层攻击。
CC防护:通过JS验证、浏览器指纹、ACL等技术有效抵御CC攻击、HTTPFlood等7层攻击。
容器隔离:针对不同高防IP分配独立的清洗容器,不同容器间相互隔离,保障不同高防IP间互不影响。
弹性防护:选择弹性防护后,当受到的攻击超过基础防护峰值时,业务仍将继续得到网易云易盾的防护。
5分钟快速接入网易易盾DDoS高防服务,免费试用,技术专家一对一调配防护策略。
相关阅读: