随着DDoS攻击的衍变,对于防御这一工作也增加了更大的难度。相信很多企业遇见DDoS攻击时,都会想着先让自己公司的安全人员在现在的网络基础设施上想办法解决。的确有能力的企业根据自己的一些基础防护,可以起到一定的到缓解作用,到目前为止,针对DDOS攻击是没有完全可以杜绝的解决方案,简单而言众多防御只能起到缓解,却不可以完全的根治DDOS攻击。比如防火墙,高防服务器等安全产品虽然拥有DDOS防护的能力,但这只是针对小流量,遇见大的流量完全束手无策。尤其是针对大的CC并发攻击更是没有脾气。
因为宽带网速的提升,DDOS流量攻击也随之越来越高,每个月的500G左右的攻击流量在某些特定的行业也是频频发生,那么遇见500G左右的攻击企业公司该如何应对防御呢?可以肯定的是需要进行多层防御才可以抵抗。
首先是ISP/WAN层,这层一般是对终端用户不可见的,而且中小企业一般是不会接触到这层的。不过对于一些大型的互联网企业、公有云企业这层是不可缺少的,主要是当流量超过本身能处理的极限时,就需要借助互联网服务提供商的资源。一些大型互联网企业本身建设的带宽是比较大的,但这面对大流量DDOS攻击的时候还是没不能完全拥有抵抗的能力。实际现在云计算服务器厂商,以及一部分的安全防护厂商面对500G左右的攻击,除过需要自身的防护过滤清洗能力,依然是需要依靠运营商的BGP优化线路。虽然有些服务器厂商,针对大流量攻击直接进行黑洞路由操作,但这样做除了将攻击流量黑洞,也会将部分真实用户的访问一起黑洞掉,对用户体验是一种打折扣的行为。对公司的信誉也有一定的影响,业务也会损失。相比,在不增加延迟的情况下,靠近攻击源位置对攻击进行过滤清洗,回源的方式对于用户的体验会好很多。不过这种高防防御比起直接黑洞的价格会高一点点。
然后是CDN/Internet层,注明下CDN并不是专业抗DdoS攻击的,只是对于Web类应用服务器而言,刚好有一点的抗DDoS能力。以12306的抢票为例,春节放票时访问量非常大,数据不亚于DDoS的CC并发,而在平台的CDN层面利用验证码会过滤绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。CDN一般是先通过自身的带宽硬抗,抗不了会通过动态请求回到源站,如果源站前端的抗DDoS能力或者源站前的带宽比较有限,就会被彻底DdoS,造成拒绝服务。
这就要预先设置好网站的CNAME,将域名指向安全防护厂商的DNS服务器,在检测到攻击发生时,域名指向自己的清洗集群,然后再将清洗后的流量回源,在对攻击流量进行分流的时候,会提前准备好一个域名到IP的地址池,当IP被攻击时封禁并启用地址池中的下一个IP,如此往复。不过CDN仅对Web类服务有效,对游戏类TCP直连的服务无效的。
对于Datacenter层的防御主要是将ADS设备部署在出口位置,达到近源清洗 ,这个主要是根据特定的业务场景确认阈值,然后将触发机制建立的阈值上,通过策略,ADS可以自动缓解一些常见的DDOS攻击类型,但是一部分衍变的就需要人工识别。
最后是OS/APP层,主要是将ADS设备过滤掉的流量再一次的进行过滤和缓解,为应用层协议ADS没防住后做的补充防护。目前互联网公司应用最多的是Web服务,所以他们一般会选择在系统层面做应用层的DDoS防护,
以上的基层防御基本都是建立在足够大的带宽下,因此墨者安全也会常常遇见客户说带宽不够,一般小流量的不会出现这种问题,大流量攻击的时候必须要加带宽,然后才能实现缓解防护。当然如果是大流量还是建议找专业的安全防护公司,及时处理将损失降到最低。网络安全人人受益,维护网络安全人人有责。
