随着DDoS攻擊的衍變,對于防禦這一工作也增加了更大的難度。相信很多企業遇見DDoS攻擊時,都會想着先讓自己公司的安全人員在現在的網絡基礎設施上想辦法解決。的确有能力的企業根據自己的一些基礎防護,可以起到一定的到緩解作用,到目前為止,針對DDOS攻擊是沒有完全可以杜絕的解決方案,簡單而言衆多防禦隻能起到緩解,卻不可以完全的根治DDOS攻擊。比如防火牆,高防伺服器等安全産品雖然擁有DDOS防護的能力,但這隻是針對小流量,遇見大的流量完全束手無策。尤其是針對大的CC并發攻擊更是沒有脾氣。
因為寬帶網速的提升,DDOS流量攻擊也随之越來越高,每個月的500G左右的攻擊流量在某些特定的行業也是頻頻發生,那麼遇見500G左右的攻擊企業公司該如何應對防禦呢?可以肯定的是需要進行多層防禦才可以抵抗。
首先是ISP/WAN層,這層一般是對終端使用者不可見的,而且中小企業一般是不會接觸到這層的。不過對于一些大型的網際網路企業、公有雲企業這層是不可缺少的,主要是當流量超過本身能處理的極限時,就需要借助網際網路服務提供商的資源。一些大型網際網路企業本身建設的帶寬是比較大的,但這面對大流量DDOS攻擊的時候還是沒不能完全擁有抵抗的能力。實際現在雲計算伺服器廠商,以及一部分的安全防護廠商面對500G左右的攻擊,除過需要自身的防護過濾清洗能力,依然是需要依靠營運商的BGP優化線路。雖然有些伺服器廠商,針對大流量攻擊直接進行黑洞路由操作,但這樣做除了将攻擊流量黑洞,也會将部分真實使用者的通路一起黑洞掉,對使用者體驗是一種打折扣的行為。對公司的信譽也有一定的影響,業務也會損失。相比,在不增加延遲的情況下,靠近攻擊源位置對攻擊進行過濾清洗,回源的方式對于使用者的體驗會好很多。不過這種高防防禦比起直接黑洞的價格會高一點點。
然後是CDN/Internet層,注明下CDN并不是專業抗DdoS攻擊的,隻是對于Web類應用伺服器而言,剛好有一點的抗DDoS能力。以12306的搶票為例,春節放票時通路量非常大,資料不亞于DDoS的CC并發,而在平台的CDN層面利用驗證碼會過濾絕大多數請求,最後到達資料庫的請求隻占整體請求量的很小一部分。CDN一般是先通過自身的帶寬硬抗,抗不了會通過動态請求回到源站,如果源站前端的抗DDoS能力或者源站前的帶寬比較有限,就會被徹底DdoS,造成拒絕服務。
這就要預先設定好網站的CNAME,将域名指向安全防護廠商的DNS伺服器,在檢測到攻擊發生時,域名指向自己的清洗叢集,然後再将清洗後的流量回源,在對攻擊流量進行分流的時候,會提前準備好一個域名到IP的位址池,當IP被攻擊時封禁并啟用位址池中的下一個IP,如此往複。不過CDN僅對Web類服務有效,對遊戲類TCP直連的服務無效的。
對于Datacenter層的防禦主要是将ADS裝置部署在出口位置,達到近源清洗 ,這個主要是根據特定的業務場景确認門檻值,然後将觸發機制建立的門檻值上,通過政策,ADS可以自動緩解一些常見的DDOS攻擊類型,但是一部分衍變的就需要人工識别。
最後是OS/APP層,主要是将ADS裝置過濾掉的流量再一次的進行過濾和緩解,為應用層協定ADS沒防住後做的補充防護。目前網際網路公司應用最多的是Web服務,是以他們一般會選擇在系統層面做應用層的DDoS防護,
以上的基層防禦基本都是建立在足夠大的帶寬下,是以墨者安全也會常常遇見客戶說帶寬不夠,一般小流量的不會出現這種問題,大流量攻擊的時候必須要加帶寬,然後才能實作緩解防護。當然如果是大流量還是建議找專業的安全防護公司,及時處理将損失降到最低。網絡安全人人受益,維護網絡安全人人有責。
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)