淺析DDOS攻擊防禦思路

近年來已經發生了多起針對全球型機構大規模的DDoS攻擊事情，使得DDoS攻擊又從新回到了大衆的視野中來，引發了軒然大波。雖然說大型機構都按照要求創建了本地以及運營商級的DDOS攻擊檢測清洗服務，但隨着網聯網的快速發展，同時攻擊成本的不斷下降，使得新型的攻擊手法頻出不斷，甚至一度讓DDOS攻擊造成了一個產業鏈，讓諸多互聯網類業務遭受到極大的威脅。小墨經過多年的網絡安全運維經驗及對DDOS攻擊的基本理解，給你們說一下流量型攻擊的基本防禦思路。

1.本地DDos防禦設備。通常惡意組織發起DDos攻擊時，率先感知並起做用的通常爲本地數據中心內的DDos防禦設備，金融機構本地防禦設備較多采用旁路鏡像部署方式。本地DDos防禦設備通常分爲DDos檢測設備、清洗設備和管理中心。首先，DDos檢測設備平常經過流量基線自學習方式，按各類和防護有關的維度，好比syn報文速率、http訪問速率等進行統計，造成流量模型基線，從而生成防護閾值。學習結束後繼續按基線學習的維度作流量統計，並將每一秒鐘的統計結果和防護閾值進行比較，超過則認爲有異常，通告管理中心。由管理中心下發引流策略到清洗設備，啓動引流清洗。異常流量清洗經過特徵、基線、回覆確認等各類方式對攻擊流量進行識別、清洗。通過異常流量清洗以後，爲防止流量再次引流至DDos清洗設備，可經過在出口設備回注接口上使用策略路由強制回注的流量去往數據中心內部網絡，訪問目標系統。

2.運營商清洗服務。當流量型攻擊的攻擊流量超出互聯網鏈路帶寬或本地DDos清洗設備性能不足以應對DDos流量攻擊時，須要經過運營商清洗服務或藉助運營商臨時增長帶寬來完成攻擊流量的清洗，運營商經過各級DDos防禦設備以清洗服務的方式幫助用戶解決帶寬消耗型的DDos攻擊行爲。實踐證實，運營商清洗服務在應對流量型DDos攻擊時較爲有效。

3.雲清洗服務。當運營商DDos流量清洗不能實現既定效果的狀況下，能夠考慮緊急啓用運營商雲清洗服務來進行最後的對決。依託運營商骨幹網分佈式部署的異常流量清洗中心，實現分佈式近源清洗技術，在運營商骨幹網絡上靠近攻擊源的地方把流量清洗掉，提高攻擊對抗能力。具有適用場景的能夠考慮利用CNAME或域名方式，將源站解析到安全廠商雲端域名，實現引流、清洗、回注，提高抗D能力。