DDoS預防簡史

分布式拒絕服務（DDoS）使用大量有效請求來消耗網絡資源，并使服務無響應并且對合法用戶不可用。目前，DDoS攻擊是最有力的網絡攻擊防御之一。

DDoS已經在網絡安全領域長期存在，并且是一種古老的攻擊方法。DDoS預防也經歷了不同的階段。

內核優化

在早期，沒有專業的流量清理服務可用于防范DDoS攻擊。當時，互聯網帶寬也相對較小，大多數人使用56K調制解調器獲得撥號上網。攻擊者只能利用一小部分帶寬。通常，防御者可以通過優化內核參數和iptables來防止DDoS攻擊。

在此階段，linux內置的功能可防御DDoS攻擊。例如，對于SYN泛洪攻擊，調整net.ipv4.tcp_max_syn_backlog參數，控制syn隊列的上限以避免完全連接，并調整net.ipv4.tcp_tw_recycle和net.ipv4.tcp_fin_timeout以使TCP保留數量TIME-WAIT和FIN-WAIT-2中的連接。對于ICMP泛洪攻擊，Iptables被調整為關閉或限制ping數據包的速率或過濾不符合RFC協議的格式錯誤的數據包。但是，這種保護方法只優化了一臺服務器。隨著資源攻擊強度的增加，這種保護方法無法有效抵御DDoS攻擊。

專業的Anti-DDoS硬件防火墻

專業的防DDoS硬件防火墻可以優化功耗，轉發芯片，操作系統等。這些防火墻可以滿足DDoS流??量清洗的需求。通常，IDC服務提供商購買反DDoS硬件防火墻并在數據中心的入口處部署它們，以便為整個數據中心提供清理服務。這些清理服務的性能逐漸從最初的每臺100 MB發展到1 Gbit / s，10 Gbit / s，20 Gbit / s，100 Gbit / s或更高。這些清理服務涵蓋從第3層到第7層的各種攻擊，例如SYN-FLOOD，UDP-FLOOD，ICMP-FLOOD，ACK-FLOOD，TCP連接泛洪，CC攻擊，DNS-FLOOD和反射攻擊。

但是，這種DDoS預防方法對于IDC服務提供商來說非常昂貴。每個數據中心的入口都需要擦洗設備，需要特殊的維護人員來維護設備和服務。此外，并非所有IDC都具有相同的擦洗和保護功能。一些小型數據中心的上行鏈路可能只有20 GB帶寬，無法重復使用這些擦除設備。

云時代具有安全IP地址的高級Anti-DDoS系統

在云時代，服務部署在各種云或傳統的IDC中。提供的DDoS清理服務沒有一致的標準。在超大量DDoS攻擊流量的情況下，托管服務的數據中心無法提供匹配的保護功能。為了保護服務免受影響，我們必須創建“黑洞”概念。采用黑洞機制后，當服務器的攻擊流量大于IDC中的黑洞觸發閾值時，IDC將阻止該服務器的Internet訪問，以避免持續攻擊并確保IDC的整體穩定性。

在這種情況下，具有安全IP地址的高級防DDoS系統通過為數據中心提供高帶寬，將流量轉換為這些IP地址，然后將清理后的流量轉發到用戶的源站，提供了一整套防DDoS解決方案。此保護方法支持重用數據中心資源，并允許數據中心更多地關注其預期角色。此外，這種保護方法通過以基于SaaS的方式提供DDoS清理服務來簡化DDoS預防。

云時代具有安全IP地址的高級反DDoS系統可以滿足高帶寬的需求。它還允許用戶隱藏其源站并靈活地更改清理服務提供商。

具有安全IP地址的高級Anti-DDoS系統的關鍵組件

帶寬和網絡

帶寬和網絡是實現DDoS保護的首要要求。為了有效防御DDoS攻擊，我們需要做的第一件事就是建立一個高帶寬的數據中心。目前，中國的主流數據中心是單線數據中心，只有一家網絡提供商（中國電信，中國聯通或中國移動）和多線BGP數據中心，這些中心擁有多個網絡提供商。

多線與單線數據中心

特點：

帶寬和成本：單線數據中心的成本適中，但需要相對較高的帶寬（TB級別）才能防止DDoS攻擊。多線BGP數據中心的初始成本可能更高，但它只需要相對較低的帶寬來防止DDoS攻擊。
訪問質量：單線數據具有平均訪問質量，因為它受運營商之間的跨網絡性能影響。多線路提供最佳的BGP網絡。
業務復雜性：用戶需要多個IP地址來實現多線路接入 - 例如，分別是中國電信，中國聯通和中國移動IP，導致業務復雜性高。實現多線連接只需要一個IP地址，業務復雜性相對較低。
災難恢復：單線災難恢復不充分，效率低下。如果數據中心遇到網絡故障，則災難恢復僅支持在業務層中進行切換。BGP具有冗余備份和環路消除功能。當IDC供應商具有多個BGP互連線路時，供應商可以以備份模式部署路由。如果一條線路出現故障，路由將自動切換到另一條線路。

另一個方面是最大帶寬。目前，300 Gbit / s只是一種基本的保護功能。保護級別高達一個Tbit / s或無限保護解決方案成為越來越多用戶的選擇。

多線路BGP數據中心的TB級保護能力也成為未來的發展目標。阿里云致力于為客戶提供卓越的訪問質量和保護能力的Anti-DDoS Pro。

大型交通清洗集群

這是另一項關鍵技術。DDoS清理的核心部分是攔截攻擊流量。以下是一般攻擊類型和對策：

攻擊預防

當有足夠的帶寬時，我們需要考慮如何清除DDoS攻擊流量。通常，專業的DDoS擦洗設備采用以下典型的保護和防范方法：丟棄畸形報文和特定協議，驗證源反射攻擊，統計速率限制行為識別。攻擊通常包括SYN-FLOOD，UDP-FLOOD，ICMP-FLOOD，ACK-FLOOD，TCP連接泛洪，CC攻擊，DNS-FLOOD和反射攻擊。

丟棄格式錯誤的數據包和特定協議非常簡單。指定的方法可用于防止反射攻擊和不遵循RFC協議的消息。
源反射驗證是防御SYN泛洪攻擊的對策。通常，使用反向驗證。擦除設備通過在TCP三次握手中回答SYN-ACK消息期間使用特殊算法生成的序列號來代表服務器驗證訪問源的真實性。該算法考慮了許多因素，例如雙方的IP地址和端口，并驗證ACK消息。如果訪問是真實且合法的，則允許連接流量。同樣，為了抵御復雜的CC攻擊，可以使用圖片驗證碼來驗證看似潛在的攻擊者是否是真實合法的客戶。
統計速率限制和行為識別基于黑名單，白名單，用戶訪問率和行為來啟用速率控制。

集群架構

從目前的DDoS預防趨勢來看，DDoS預防解決方案需要彈性擴展以更好地抵御攻擊。在這里我們需要提到100 GB接口的流行度。通常，用于流量負載平衡的散列基于五元組的特征。如果針對攻擊流量的五元組的哈希值不均勻，則更有可能發生擁塞。根本不會將流量發送到清理引擎。這也是大型集群清潔系統的重要組成部分。

預防性防御計劃

規劃防御DDoS攻擊的對策也非常重要。高效的規劃需要多年的DDoS預防經驗。在新攻擊和緊急事件的情況下，快速分析和決策在解決問題方面發揮著關鍵作用。

負載平衡設備和安全組件

負載平衡是高級代理保護的關鍵技術。負載平衡包括第四層和第七層。

第四層負載平衡為每個客戶的業務提供獨有的IP地址。第四層服務器負載平衡本身需要高性能和高可用性轉發功能以及安全保護功能，以抵御連接攻擊。

第七層負載平衡目標是網站服務的代理保護。支持HTTP / HTTPS和防御CC攻擊的功能已集成到第七層負載均衡系統中。

專用IP地址：專用IP地址的一個優點是，如果一個IP地址受到DDoS攻擊，其他服務將不會因資源隔離而受到影響。
高可用性和高可擴展性：您可以根據應用程序負載擴展服務，而不會中斷服務連續性。您可以根據需要增加或減少后端服務器的數量，以擴展應用程序的服務功能。
安全功能：您可以查看有關傳入和傳出流量的信息，并在域，會話或應用程序級別實施精確的DDoS保護。

為了實現最終的DDoS保護，有必要將第四層和第七層的深入安全能力開發與大流量清理集群相結合。

實時數據分析系統

流量分析

首先，讓我們看一下數據源。目前有許多數據源機制可用。一種眾所周知的NetFlow機制，用于樣本分析和攻擊檢測。一對一流量分割也可用于獲取統計和檢測的所有流量。顯然，后一種方法需要更多的資源和更有效的數據分析系統。需要更多開發和技術支持的系統通常可以提高分析效率。

應用識別

獲取原始消息和數據后，我們需要區分應用程序。可以在IP級別，IP +端口級別，域名級別或其他級別進行應用程序區分。不同的服務需要不同的預防方法我們需要根據特定服務的特征定制專門的預防計劃。

攻擊分析

當前的DDoS攻擊分析不再依賴于基于統計的分析算法。針對攻擊分析，引入了行為識別和機器學習的理論和實踐。這些算法可以幫助我們更好地抵御DDoS攻擊。我們還應該考慮如何在用戶的攻擊保護工作中有效地應用這些算法。

結論

前面的內容反映了DDoS攻擊保護的木桶理論。攻擊預防的每個方面都將影響整體保護，有效性和效率。具有安全IP地址的未來高級反DDoS系統應具有彈性帶寬，高冗余，高可用性，高訪問質量和簡單的業務集成。同時，基于OPENAPI的DDoS保護與用戶自動維護系統的結合可以為業務帶來更高的安全性并促進業務增長。