DDoS攻擊該如何解決

本篇文章為大家展示了DDoS攻擊該如何解決，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

網絡安全始終是人們討論的熱點話題，對于互聯網企業而言：無安全、無生存。

在攻擊日益泛濫的今天，如何保障企業安全成為了大家研究的熱點。

網絡安全現狀

當前的安全威脅問題歸類為三方面：服務穩定性安全、數據安全和運營安全。

一是服務穩定可靠性：一方面取決于信息系統自身的穩定可靠性，特別是信息系統云化之后，影響因素增多。如：虛擬機性能、虛擬機的遷移機制、網絡鏈路冗余、信息系統災備機制等；另外一方面來自于外部的攻擊的影響，如DDoS攻擊，DNS域名劫持等，兩方面因素綜合決定了系統服務的穩定可靠性。

二是數據安全：數據安全問題主要集中在數據的泄露和數據的篡改兩個方面，近期發生的Facebook用戶數據泄露問題，體現了數據泄露的危害與嚴重性。事件原因主要是與其他公司合作，對于數據銷毀環節未加以驗證，導致了合作方泄露數據的后果，給Facebook帶來了史無前例的企業生存問題，引起更多互聯網企業對數據保護的重視。此事也充分體現了企業安全的“三分技術、七分管理”的道理，除了內部管理機制或人員問題導致的數據泄露問題，外部的網絡攻擊帶來的危害也是不容忽視。常見的WEB應用攻擊、系統級別的漏洞利用，以及愈加復雜的具有針對性的APT攻擊等，都給企業的生存、運營，甚至國家安全帶來嚴重危害。

三是運營安全：釣魚網站、山寨應用、垃圾內容，這些問題嚴重影響了用戶的體驗，危及用戶的利益，給企業造成聲譽危害及盈利的損害。

DDoS攻擊現狀

從統計的數據中可以看到DDoS攻擊的幾個特點：

1.   南方遭受的DDoS攻擊較多，其中浙江省遭受的攻擊最多；

2.   電信線路DDoS攻擊規模較大，動輒達到TB級別；

3.   攻擊的時長上，三分之二的DDoS攻擊持續時間小于10分鐘，而持續時間在10分鐘至1小時的攻擊占比約30.5%，不到0.1%的攻擊時長在一個小時之上。

為什么DDoS攻擊如此猖獗？

第一， 攻擊利益鏈成熟，攻擊成本越來越低。DDoS攻擊地下產業鏈可以提供一整套的完善的服務，包含各種套餐，其中一個月幾十元就可以購買到DDoS攻擊服務。

第二， 攻擊流量規模逐年增大一方面是由于個人、企業的帶寬都在增加，另一方面智能家居、物聯網設備的大量使用，薄弱的安全防護給力攻擊者更多可利用的機會，容易形成大規模的攻擊設備集群。

第三， 難溯源。因為從攻擊指令發出端，到實際攻擊的服務器，中間可能經過了數道跳轉，再加上IP偽造等技術，查到攻擊源頭非常困難。對于攻擊者來說，現在基本上就是有恃無恐。想做到“溯源追兇”，需要投入極高的成本，并且需要經驗豐富的攻防專家或團隊來完成。對于被攻擊者來說，基本上只能被動防護。

故事解析：Memcache反射性攻擊

故事主角——Memcache服務器。本身這個服務器是企業的應用系統對于數據訪問的一些內容的緩存，以加快響應速度。

從管理角度出發，Memcache服務器作為內網應用的服務器，不應該暴露于公網之中。但還是有很多公司的運維管理者為了運維的方便，通過公網進行管理，這是利用Memcache進行DDoS攻擊的基本前提。

另一個關鍵因素是Memcache服務器，不存在身份驗證的環節，任何人掃描到IP和端口，就可以訪問。完成攻擊的最核心的因素，是memcache訪問的協議，請求memcache服務器之后，回復的數據的大小遠高于請求的數據大小，形成了放大的效果，攻擊者利用memcache服務器，偽造源IP，最后形成了反射放大型的DDoS攻擊，攻擊量達到5W倍，這樣，一個超大規模的DDoS攻擊方法就形成了，典型的事件是：GitHub遭受了超過T級的memcache服務器的反射放大型DDoS攻擊。

值得注意的是，Memcache攻擊，規模如此之大，但是它只是新興的一種攻擊手段。從DDoS的全部數據來看，它的占比不到百分之一。更多的還是一些已經的攻擊手段，比如DNS反射性攻擊、SSDP攻擊（是利用物聯網設備的1900端口進行反射性攻擊）。

如何解決Memcache反射性攻擊？

從Memcache服務器的規模分布來看，國內有超過2W臺的可利用的Memcache服務器，全球有超過10W臺的Memcache服務器。從影響規模來看，解決Memcache服務器反射性攻擊問題已經刻不容緩了。

在分享中網易云易盾的產品架構師高洪亮建議，從預防階段來看，需要Memcache服務器的運維管理者，關閉被利用的11211端口，將memcache服務器放置內網之中以避免被利用。但是，這個也不可能完全杜絕此類事件的發生，畢竟有人為因素在，互聯網上還是會存在可被利用的設備。那么對于對于已經形成的攻擊，受攻擊者可以利用云清洗服務進行防護。

DDoS攻擊分類及防護情況

攻擊分類：

DDoS攻擊的分型，從效果上來看，可以分為兩種。第一種，消耗帶寬資源的。典型的就是反射性的流量攻擊。

第二種，就是耗盡服務器的資源的：服務器的連接數、服務器的CPU、提供域名解析的DNS服務器。都屬于資源，通過占用服務器資源，使服務器無法對外提供服務，從而達到攻擊效果。典型的如CC攻擊，或者對DNS服務器，大規模查詢不存在的網址以消耗DNS服務器的資源，從而形成間接的對服務器的攻擊。

防護情況：

對于DDoS攻擊，國內目前來看，防護手段不外乎三種：本地化部署安全設備、云端流量清洗、移動運營商的清洗系統及路由黑洞策略。

三種防護方法，從投入成本，適用場景，來看均有所不同。所以用戶還需要根據自身的情況來選擇合適的防護方案。

網易云易盾是如何解決這一難題的？

網易云抗D三部曲：

1.   網易在電信、聯通、移動大區入口部署了高防清洗集群；

2.   高防客戶的業務流量，先引流到網易云高防機房進行清洗防護；

3.   清洗完成后，用戶的業務流量，可通過高防IP轉發回客戶源站服務器。

接入云抗D之前，用戶是直接訪問服務系統。接入云抗D之后，訪問數據先到易盾的云清洗的高防機房，流量經過清洗之后，高防機房將正常的業務流量再回傳給實際的服務器。

這里有兩個前提，首先防護的業務是通過域名來訪問的，第二，就是上了高防業務之后，用戶系統實際的IP要對外隱藏，避免攻擊方繞過云清洗系統直接攻擊IP。

在實際的防護過程中，流量要經過數道清洗。在檢測的方式上，主要是通過閾值和數據特征以及行為分析等算法模型來進行檢測，如：客戶端真實性驗證等、黑名單、ACL管控、流量限速的方式。

網易云易盾云抗D服務，對于四層攻擊、七層攻擊，能夠進行全面的檢測和防護。在策略配置上，預置有多套模板，可以根據業務具體情況來進行針對性的配置，并且支持向導性配置。在業務流量狀態展示上，支持多種維度的圖形界面展示。

在整體的防護能力上，目前網易云易盾，支持三線運營商的業務防護。提供1T的超大帶寬防護，SLA可用性達到99.9%。

業務接入抗D后，延遲時間在100MS以內。

業務接入上，我們支持網易云客戶和非網易云客戶，并且只需5分鐘就可以完成接入。一般分為四步：

1.  在易盾控制臺購買高防IP，選擇聯通/電信/移動線路；

2.  對高防IP配置轉發規則，將清洗后的流量轉發到源站IP；

3.  配置防護策略；

4.  切換業務DNS指向高防IP。

網易云易盾領先在哪里？

DDoS防護：可對畸形包進行有效攔截，抵御SYNFlood、ACK Flood、ICMPFlood、UDP Flood、NTP Flood 、SSDPFlood、DNS Flood等4層攻擊。

CC防護：通過JS驗證、瀏覽器指紋、ACL等技術有效抵御CC攻擊、HTTPFlood等7層攻擊。

容器隔離：針對不同高防IP分配獨立的清洗容器，不同容器間相互隔離，保障不同高防IP間互不影響。

彈性防護：選擇彈性防護后，當受到的攻擊超過基礎防護峰值時，業務仍將繼續得到網易云易盾的防護。

上述內容就是DDoS攻擊該如何解決，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業資訊頻道。