基于DDOS高防IP系統(tǒng)預(yù)防DDOS攻擊的原理

楊玉蘭

摘要：DDoS攻擊的預(yù)防技術(shù)歷經(jīng)內(nèi)核優(yōu)化、專業(yè)抗DDoS硬件防火墻、云時代的DDoS高N-IP系統(tǒng)三個階段。DDoS高防IP系統(tǒng)主要有良好的帶寬&網(wǎng)絡(luò)、大流量清洗集群體系、負(fù)載均衡設(shè)備&安全組件以及數(shù)據(jù)實時分析系統(tǒng)等四大關(guān)鍵組成，但該系統(tǒng)還存在木桶短板缺陷，任何一個關(guān)鍵組成的防御效果都會影響到整體的防御效果。未來的DDoS高防IP系統(tǒng)應(yīng)該具備彈性帶寬、高冗余、高可用、訪問質(zhì)量優(yōu)、業(yè)務(wù)接入簡單的特點。

關(guān)鍵詞：DDOS攻擊;高防IP;大流量清洗集群

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）32-0057-02

DDoS攻擊即Distributed Denial of Service（分布式拒絕服務(wù)）攻擊，是攻擊者通過遠(yuǎn)程控制大量分散在不同地域的傀儡機定時或?qū)崟r在同一時間向遠(yuǎn)程受害者計算機發(fā)送大量貌似合法的申請，在短短的數(shù)秒內(nèi)即可導(dǎo)致網(wǎng)站無法登陸、頁面打不開、游戲掉線或卡死以及網(wǎng)絡(luò)不通等網(wǎng)絡(luò)阻塞或資源耗盡從而導(dǎo)致服務(wù)器拒絕服務(wù)的攻擊行為。隨著我國經(jīng)濟、政治地位的不斷提升，來自國際的DDoS攻擊越來越多，僅次于美國。而且現(xiàn)在許多專屬服務(wù)器、社交平臺以及黑市、“肉雞集群”和在線DDoS平臺等跨網(wǎng)調(diào)度流量越來越方便、流量購買價格越來越低廉，使得攻擊者能以更低的成本發(fā)起更大規(guī)模的攻擊。其國際化、超大規(guī)模化和市場化的發(fā)展趨勢使之成為目前最強大、最難防御的網(wǎng)絡(luò)攻擊之一，嚴(yán)重威脅著網(wǎng)絡(luò)安全。

1預(yù)防DDoS攻擊的技術(shù)發(fā)展歷程

伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，預(yù)防DDoS攻擊的技術(shù)經(jīng)歷了早期的內(nèi)核優(yōu)化、中期的專業(yè)抗DDoS攻擊硬件防火墻以及云時代的DDoS高防IP系統(tǒng)三個發(fā)展階段。

1.1內(nèi)核優(yōu)化階段

在互聯(lián)網(wǎng)發(fā)展早期，互聯(lián)網(wǎng)帶寬較小，用戶大多是用電話線加“貓”（modem）撥號上網(wǎng)，攻擊者可以使用的帶寬也就小。普通用戶一般是通過IPTABLES就能基本解決攻擊，有內(nèi)核開發(fā)能力的可以通過優(yōu)化內(nèi)核參數(shù)、編寫內(nèi)核防護(hù)模塊來提升防護(hù)能力。在這個階段，Linux本身就提供基本預(yù)防DDoS攻擊的功能。可以通過調(diào)整net.ipv4.tep_max_syn_baeklog參數(shù)控制半連接隊列上限避免連接被打滿，調(diào)整net.ipv4.tep_tw_reeyele，net.ipv4.tep_fin_timeout控制tcp狀態(tài)保持在TIME-WAIT，F(xiàn)IN-WAIT-2的連接個數(shù)，從而預(yù)防SYN FLOOD攻擊;通過控制IPTABLES來關(guān)閉和限制ping報文的速率，也可以過濾掉不符合RFC協(xié)議規(guī)范的畸形報文，就可以預(yù)防ICMP FLOOD攻擊。內(nèi)核優(yōu)化技術(shù)優(yōu)化的是單臺服務(wù)器。

1.2專業(yè)抗DDoS硬件防火墻

專業(yè)抗DDoS硬件防火墻對功耗、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等各個部分都進(jìn)行了優(yōu)化，部署在機房人口處為整個機房提供DDoS流量清洗服務(wù)。經(jīng)歷了從單臺百兆逐步到1Gbps、10Gb-ps、20Gbps、100Gbps或者更高，清洗服務(wù)也基本涵蓋了3-7層的各種攻擊（SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等）。這種方式硬件成本高，還需有專業(yè)的運維人員。

1.3云時代的DDoS高防IP系統(tǒng)

云時代到來后，服務(wù)器逐漸部署在各種云上或者傳統(tǒng)的IDC機房里面，沒有統(tǒng)一的DDoS基礎(chǔ)清洗服務(wù)標(biāo)準(zhǔn)，“黑洞”閾值也不同，面對不同規(guī)模的超大流量DDoS攻擊時，不同的服務(wù)器就會啟動“黑洞”，屏蔽服務(wù)器的外網(wǎng)訪問，避免攻擊持續(xù)，影響整體機房的穩(wěn)定性。

在這種情況下，DDoS高防IP系統(tǒng)應(yīng)運而生。DDoS高防IP系統(tǒng)建立各種大帶寬的機房，為用戶提供有償服務(wù)，用戶只需要把域名解析到高防IP（Web業(yè)務(wù)把域名解析指向高防IP;非Web業(yè)務(wù)把業(yè)務(wù)IP替換成高防IP），并配置源站IP。配置完成后，所有公網(wǎng)流量都將經(jīng)過高防IP機房，清洗過濾惡意攻擊流量，通過端口協(xié)議轉(zhuǎn)發(fā)正常流量到源站lP，從而確保源站lP穩(wěn)定訪問。該系統(tǒng)可以滿足對大寬帶的剛性需求，用戶也隱藏了源站，還可以靈活更換清洗服務(wù)商。

2DDoS高防IP系統(tǒng)關(guān)鍵組成

DDoS高防IP系統(tǒng)有四大關(guān)鍵組成：良好的帶寬&網(wǎng)絡(luò)、大流量清洗集群體系、負(fù)載均衡設(shè)備&安全組件以及數(shù)據(jù)實時分析系統(tǒng)，如圖1所示。

2.1良好的帶寬&網(wǎng)絡(luò)

良好的帶寬&網(wǎng)絡(luò)是預(yù)防DDoS攻擊的必然要求。首先要擁有一個高帶寬的機房，目前國內(nèi)主流機房主要為電信單線機房、聯(lián)通單線機房、移動單線機房和BGP多線機房，如圖2所示。它們性能上各有千秋：BGP機房訪問質(zhì)量高，網(wǎng)絡(luò)最優(yōu)選路，只需要一個IP地址，多線接入，業(yè)務(wù)復(fù)雜度低，BGP協(xié)議本身具有冗余、消除環(huán)路的特點，當(dāng)服務(wù)商有多條互聯(lián)線路可以實現(xiàn)路由的相互備份時，一旦一條線路出現(xiàn)故障時路由就會自動切換到其他線路。BGP機房唯一的不足就是DDoS帶寬相對較小，成本昂貴。三大運營商單線機房則恰恰相反。

良好的帶寬&網(wǎng)絡(luò)的另外一個要求就是帶寬上限越高越好。目前國內(nèi)的DDoS高防IP系統(tǒng)，300Gbps的防護(hù)能力都是人門級別的，1Tbps的防護(hù)能力乃至無限抗的解決方案越來越多的出現(xiàn)用戶的選擇中。

2.2大流量清洗集群體系

DDoS清洗的核心是攔截攻擊流量并清洗。擁有了良好的帶寬&網(wǎng)絡(luò)，專業(yè)DDoS清洗防護(hù)設(shè)備的主要防護(hù)方法包括：畸形包、特定協(xié)議丟棄;源反彈認(rèn)證體系;統(tǒng)計限速&行為識別等。畸形包、特定協(xié)議丟棄法就是對于不符合RFC協(xié)議規(guī)范的報文、反射類攻擊用指定特征的方式進(jìn)行防護(hù)。源反彈認(rèn)證是針對synflood的防護(hù)方法，一般采用反向驗證，即清洗設(shè)備替服務(wù)端校驗訪問源的真實性，也就是在TCP第二次握手即回復(fù)synack報文時，用特殊算法生成序列號，并在ack報文時確認(rèn)。如果是真實訪問者，放行流量。對于復(fù)雜的CC攻擊則反彈一個圖片驗證碼來校驗是否為真實客戶。統(tǒng)計限速&行為識別則會綜合各種黑白名單以及用戶訪問速率、行為，進(jìn)行速率控制防護(hù)。

大流量清洗集群體系還必須有彈性擴容的能力，否則，一旦攻擊流量的五元組的hash不均勻，他們大概率會擁塞，攻擊流量就無法送到清洗設(shè)備引擎上去。

2.3負(fù)載均衡設(shè)備&安全組件

負(fù)載均衡技術(shù)包括4層負(fù)載均衡技術(shù)和7層負(fù)載均衡技術(shù)。

4層負(fù)載均衡技術(shù)，為每一個客戶業(yè)務(wù)提供一個獨享的IP，本身的轉(zhuǎn)發(fā)能力要高性能、高可用性，同時還要具備安全防護(hù)能力，能夠?qū)惯B接型攻擊。獨享的IP使得一個業(yè)務(wù)IP被攻擊，不會影響其他的業(yè)務(wù)，資源隔離。高可用、可擴展就可根據(jù)應(yīng)用負(fù)載進(jìn)行彈性擴容，在流量波動情況下隨時增加或減少后端服務(wù)器的數(shù)量，擴展應(yīng)用的服務(wù)能力，不中斷對外服務(wù)。具備in/out雙向流量信息，能提供精細(xì)化、域名級別、session級別等應(yīng)用級別DDoS防護(hù)，安全防護(hù)能力大幅提升。

7層負(fù)載均衡技術(shù)，針對網(wǎng)站類業(yè)務(wù)的代理和防護(hù)，對I-ITFP/HTYPS協(xié)議的支持，各種CC攻擊的防護(hù)，都會集成在7層負(fù)載均衡的系統(tǒng)里面。

如果對4層和7層進(jìn)行安全功能深度開發(fā)，上下游配合在大流量清洗集群體系配合下還能將防護(hù)進(jìn)一步提升。

2.4數(shù)據(jù)實時分析系統(tǒng)

首先是數(shù)據(jù)源。數(shù)據(jù)源機制有很多種，常用NetFlow進(jìn)行采樣分析攻擊檢測，也可用1：1分光分流方式獲取全部流量統(tǒng)計檢測。由于1：1分光的方式需要更高的資源和更高效的數(shù)據(jù)分析系統(tǒng)，需要研發(fā)能力和技術(shù)支撐，取得的效果也更佳。

其次是區(qū)分應(yīng)用。拿到原始報文和數(shù)據(jù)后，應(yīng)用的區(qū)分可以是IP級別，也可以是IP+端口級別或是域名級別。不同業(yè)務(wù)的防御方法是有差別的，需要做到根據(jù)業(yè)務(wù)特性來制定專業(yè)的防御方案。

最后是攻擊分析。目前DDoS攻擊分析引人了行為識別、機器學(xué)習(xí)的理論和實踐，這些算法既能幫助我們對攻擊進(jìn)行更好的防護(hù)，還可以有效的實時應(yīng)用到用戶的防御對抗中。

3結(jié)束語

據(jù)以上分析可以得出，DDoS高防IP系統(tǒng)還存在木桶短板缺陷，任何一個關(guān)鍵組成的防御效果都會影響到整體的防御效果。未來的DDoS高防IP系統(tǒng)應(yīng)該具備彈性帶寬、高冗余、高可用、訪問質(zhì)量優(yōu)、業(yè)務(wù)接入簡單的特點。