分享DDOS防護過程當中須要瞭解的技術手段

在DDOS防禦過程當中，流量清洗是必不可少的技術操做。那麼精準的流量清洗具體是經過什麼樣的方式實現的呢?其中會有多種的技術方式辨識。昨天給你們分享了流量清洗過程當中必要的技術手段中的三個，攻擊特徵匹配、IP信譽檢查、協議完整性檢測。今天的內容主要分享速度檢查與限制、TCP代理和驗證、客戶端真實性驗證的技術手段。

一、經過對請求數據包發送的速度檢查與限制來進行清洗。一部分攻擊在數據包上是沒有特別明顯的攻擊特性，同時也沒有辦法進行特徵匹配。但在請求數據包發送的頻率和速度上會有着明顯的差別。好比在受到SSL DDoS攻擊時，會在同一個SSL會話中進行加密密鑰的多重協商。正常狀況下是不會反覆多重協商加密密鑰的。因此在流量清洗的時候，若是發現SSL會話中的密鑰協商次數超過了特定的閾值，會直接中斷這個會話而且把來源加入黑名單中。或者是慢速的POST請求攻擊時，客戶端和服務器之間會以低速率進行互相數據傳輸。在清洗過程當中發現HTTP請求長時間沒有完成傳輸，就會中斷會話，這種通常是經過速度檢查和限制來進行清洗的。相比UDP洪水攻擊等是沒有明顯的特徵，此種是經過大流量攻擊，流量清洗的緩解技術是限制流量速度。

二、針對TCP協議代理和驗證：如SYN Flood洪水攻擊的方式是利用了TCP協議的弱點，將被攻擊的服務器鏈接表佔滿，使其沒法建立新的鏈接而達到拒絕服務的目的。那麼在SYN請求達到必定數量清洗後，就會回覆一個SYN+ACK數據，等待客戶端回覆。肯定SYN請求是正常的用戶，客戶端就會對SYN+ACK進行響應，同時流量清洗技術會代替用戶而且保護服務器創建了TCP鏈接，而後將鏈接加入信任列表當中。這樣用戶端和服務端之間能夠進行正常的數據通訊。若是SYN請求來自攻擊者，一般不會對SYN+ACK響應，因此只是單方面的鏈接，流量清洗技術會暫時保留一段時間這個單方面的鏈接，通過必定的短的時間就丟棄它。因此相比保護服務器，流量清洗技術會對鏈接表進行優化，也能處理很大的鏈接請求。所以清洗設備保護了服務器，也不會使其消耗任何的鏈接資源，性能不會受影響。

三、流量清洗過程當中還會對客戶端真實性驗證，主要是對客戶端的程序以及應答模式的相互驗證。以此來檢查客戶端可否完成特定的功能和確認請求數據是否來自真實的客戶端。在頁面的WEB服務中，經過檢查客戶端是否支持JavaScript來驗證請求來源是不是真實的瀏覽器客戶端。在收到HTTP請求是，流量清洗技術會試用JavaScript等腳本語言發送簡單的運算操做。通常對真實的瀏覽器請求會進行正確的運算結果返回，這個時候流量清洗將驗證後的請求跳轉到Web服務器上的正常資源位置，以此不影響正常的用戶訪問。若是是攻擊工具發送的，是不會返回正常的運算結果，所以流量清洗技術會直接丟棄這樣請求，不會讓其跳轉到Web服務器的鏈接，服務器也不會受到影響。

DDoS攻擊的防護技術隨着攻擊的提高也在加強中。從最初的拒絕服務變爲了分佈式拒絕服務，並且還在變異中，因此緩解的技術也是愈來愈深奧。墨者安全我力所能及的分享一些關於DDOS攻防的技術，網絡安全方面的知識以及看法，對此你們有各自的觀點能夠相互交流。