信息化觀察網(wǎng)

據(jù)權(quán)威數(shù)據(jù)顯示，2021年上半年，全球發(fā)生DDoS攻擊約540萬次，同比增長11%，據(jù)估計，2021年整年DDoS攻擊次數(shù)將創(chuàng)紀(jì)錄地達(dá)到1100萬次。其中超百G的大流量攻擊次數(shù)在上半年就達(dá)到了2544次，同比增長50%以上，大幅高于整體攻擊次數(shù)的增長幅度。

從這些數(shù)據(jù)中可以看出，隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，DDoS攻擊將呈現(xiàn)高頻次、高增長、大流量等特點，對網(wǎng)絡(luò)安全的威脅也會與日俱增，因此做好DDoS攻擊的防護工作已是刻不容緩。

一、什么是DDoS攻擊

分布式拒絕服務(wù)攻擊(Distributed Denial of Service，簡稱“DDoS”)是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發(fā)出點分布在不同地方，因此稱這類攻擊為分布式拒絕服務(wù)攻擊。

二、DDoS攻擊原理

單一的DoS攻擊一般采用一對一方式，利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

與DoS攻擊由單臺主機發(fā)起攻擊相比較，分布式拒絕服務(wù)攻擊（DDoS）是借助數(shù)百、甚至數(shù)千臺被入侵后安裝了攻擊進(jìn)程的主機同時發(fā)起集團行為，從而快速達(dá)到消耗網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)或系統(tǒng)癱瘓的攻擊效果。

三、DDoS攻擊常見類型

1.流量型攻擊

攻擊原理：通過多個隨機源“肉雞”向攻擊目標(biāo)發(fā)送大量的數(shù)據(jù)包，占用攻擊目標(biāo)網(wǎng)絡(luò)資源和處理單元，造成攻擊目標(biāo)的網(wǎng)絡(luò)堵塞或宕機。

流量型DDoS攻擊根據(jù)攻擊方式的不同可以分為IP lood、SYN Flood以及UDP反射Flood等。

（1）IP lood

以多個隨機的源主機地址向目的主機發(fā)送超大量的隨機或特定的IP包，造成目標(biāo)主機不能處理其他正常的IP報文。

（2）SYN Flood

以多個隨機的源主機地址向目的主機發(fā)送syn包，而在收到目的主機的syn+ack包后并不回應(yīng)，目的主機為這些源主機建立大量的連接隊列，由于沒有收到ack一直維護這些連接隊列，造成資源的大量消耗而不能向正常的請求提供服務(wù)。

（3）UDP反射Flood

在短時間內(nèi)冒充被攻擊地址向外部公用的服務(wù)器發(fā)送大量的UDP請求包，外部服務(wù)器收到虛假的UDP請求就會回復(fù)大量的回應(yīng)包給被攻擊服務(wù)器地址，造成目標(biāo)主機被保護，服務(wù)器不能處理其他正常的交互流量。

2.連接型攻擊

攻擊原理：利用目標(biāo)用戶獲取服務(wù)器資源時需要交換DNS數(shù)據(jù)包的特性，發(fā)送大量的偽裝DNS數(shù)據(jù)包導(dǎo)致目標(biāo)用戶網(wǎng)絡(luò)擁塞，不能訪問目標(biāo)服務(wù)器。

連接型DDoS攻擊根據(jù)攻擊方式的不同可以分為DNS Query Flood和DNS Reply Flood等。

DNS Query Flood通過發(fā)起大量的DNS請求，導(dǎo)致DNS服務(wù)器無法響應(yīng)正常用戶的請求，正常用戶不能解析DNS，從而不能獲取服務(wù)。

DNS Reply Flood通過發(fā)起大量偽造的DNS回應(yīng)包，導(dǎo)致DNS服務(wù)器帶寬擁塞無法響應(yīng)正常用戶的請求，正常用戶不能解析DNS，從而不能獲取服務(wù)。

3.特殊協(xié)議缺陷攻擊

攻擊原理：利用目標(biāo)用戶平時使用服務(wù)所需要的協(xié)議漏洞，通過協(xié)議漏洞向目標(biāo)用戶遞送大量的數(shù)據(jù)交換包，導(dǎo)致目標(biāo)用戶無法正常使用主機。特殊協(xié)議缺陷攻擊常見的方式有Https Flood、Sip Invite Flood、Sip Register Flood、Ntp Request Flood、Connection Flood等。

（1）Https Flood

攻擊者向被攻擊服務(wù)器大量高頻地發(fā)送請求服務(wù)，使服務(wù)器忙于向攻擊者提供https響應(yīng)資源，從而導(dǎo)致不能向正常的合法用戶提供請求響應(yīng)服務(wù)。

（2）Sip invite Flood

通過發(fā)起大量的Sip invite請求，導(dǎo)致網(wǎng)絡(luò)視頻電話會議Sip服務(wù)器無法響應(yīng)正常用戶的請求報文，占用服務(wù)器帶寬使其阻塞，達(dá)到Sip報文洪水攻擊的目的。

（3）Ntp Request Flood

攻擊者向NTP服務(wù)器發(fā)送大量的請求報文，占用服務(wù)器帶寬使其阻塞達(dá)到NTP攻擊的目的。

（4）Connection Flood

利用真實IP地址(代理服務(wù)器、廣告頁面)在服務(wù)器上建立大量連接，造成服務(wù)器上殘余連接過多，效率降低，甚至資源耗盡，無法響應(yīng)。

四、DDoS攻擊防護

1、網(wǎng)絡(luò)設(shè)施

（1）保證足夠帶寬

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYN Flood攻擊。當(dāng)前至少要選擇100M的共享帶寬，最好是掛在1000M的主干上，才能應(yīng)對當(dāng)前大流量的攻擊。

（2）硬件防火墻

針對DDoS攻擊和黑客入侵而設(shè)計的專業(yè)級防火墻通過對異常流量的清洗過濾，可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等流量型DDoS攻擊。

（3）選用高性能設(shè)備

除了防火墻，服務(wù)器、路由器、交換機等網(wǎng)絡(luò)設(shè)備的性能也需要跟上，如果設(shè)備性能成為瓶頸，即使帶寬充足也無能為力。在有網(wǎng)絡(luò)帶寬保證的前提下，應(yīng)盡量提升硬件配置。

2、防御方案

（1）負(fù)載均衡

普通級別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個鏈接請求，網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，提供了一種廉價、有效、透明的方法來擴展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬，增加吞吐量，加強網(wǎng)絡(luò)數(shù)據(jù)處理能力，對DDoS流量攻擊和cc攻擊都有明顯的防御效果。

（2）CDN流量清洗

CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)，依靠部署在各地的邊緣服務(wù)器，通過中心平臺的分發(fā)、調(diào)度等功能模塊，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶訪問響應(yīng)速度和命中率。

CDN工作原理

（3）分布式集群防御

分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址，如果一個節(jié)點受攻擊無法提供服務(wù)，系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點，使攻擊源成為癱瘓狀態(tài)。

（4）高防智能云解析

云解析顛覆了傳統(tǒng)一個域名對應(yīng)一個鏡像的做法，智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求匹配到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時云解析還具備宕機檢測功能，隨時可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP，為企業(yè)的網(wǎng)絡(luò)保持一個永不宕機的服務(wù)狀態(tài)。

3、預(yù)防手段

（1）篩查系統(tǒng)漏洞

及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁，對重要信息建立和完善備份機制，對一些特權(quán)賬號的密碼謹(jǐn)慎設(shè)置，通過一系列的舉措可以把攻擊者的可乘之機降低到最小。

（2）系統(tǒng)資源優(yōu)化

合理優(yōu)化系統(tǒng)，避免系統(tǒng)資源的浪費，盡可能減少計算機執(zhí)行進(jìn)程，減少不必要的系統(tǒng)加載項及自啟動項，提高web服務(wù)器的負(fù)載能力。

（3）限制特定流量

檢查訪問來源并做適當(dāng)?shù)南拗?，以防止異常、惡意的流量來襲，限制特定的流量，主動保護網(wǎng)站安全。

五、中科三方解決方案

1.云解析

中科三方云解析可實現(xiàn)訪問需求的負(fù)載均衡，通過各節(jié)點間的均衡調(diào)度，實現(xiàn)系統(tǒng)內(nèi)流量保持通暢的常態(tài)。云解析的宕機切換功能可實時監(jiān)測網(wǎng)站服務(wù)器狀態(tài)，一旦出現(xiàn)服務(wù)器因攻擊出現(xiàn)擁堵和癱瘓，可立即將解析切換至備用服務(wù)器，保障網(wǎng)站的可持續(xù)性。除此之外，云解析還增加了流量清洗功能，通過制定流量監(jiān)測規(guī)則，對來訪流量進(jìn)行有針對性的監(jiān)測并對惡意流量及時進(jìn)行清洗，有效防御異常流量攻擊。

2.云盾

中科三方云盾是基于大數(shù)據(jù)和AI技術(shù)打造的業(yè)務(wù)級Web應(yīng)用防火墻，具備高防DNS、攻擊監(jiān)測、高防IP、替身安全防御、精準(zhǔn)溯源、流量清洗等功能，可有抵御超大流量DDoS攻擊、cc攻擊以及高密度的DNS查詢攻擊，實時保護Web應(yīng)用免遭網(wǎng)絡(luò)、應(yīng)用、業(yè)務(wù)等各種已知和未知威脅。

…

隨著互聯(lián)網(wǎng)業(yè)務(wù)的日益增長以及網(wǎng)絡(luò)技術(shù)的不斷更新和發(fā)展，可以預(yù)見未來DDoS攻擊還會大幅度增長，攻擊手段也會越來越復(fù)雜多樣，其所帶來的威脅和破壞也會越來越難以估量。因此，企業(yè)需時刻保持警惕，提前做好應(yīng)急方案，才能有效防御和應(yīng)對包括DDoS攻擊在內(nèi)的各種網(wǎng)絡(luò)安全問題。