网络安全—DDoS攻防
背景简述:DDoS攻击分为很多类型,有消耗网络带宽的流量攻击,有消耗服务器资源的应用层攻击等。影响巨大,且让无论大公司还是小公司都肃然“起敬”的当属:流量攻击。在流量越来越廉价的今天,攻击流量小则几百兆,大则几个G,甚至更多。DDoS攻击的重灾区一般在竞争比较激烈的游戏行业,特别是在前几年私服流行的时候,各种攻击防不胜防。
常用防御方法:
1、 企业级DDoS防火墙:用过不少厂家的DDoS防火墙,金盾、绿盟、傲盾等,这些防火墙原理上都类似,基本上都有强大的计数计时器,然后结合TCP/IP协议族的特点来进行防御,比如:每秒产生多少SYN半开连接算是攻击,每IP每秒产生多少ICMP流量算是攻击,还有某些协议中从那些位开始携带了某些特殊的字节算是攻击等等。对于一些流量不算大的攻击防御效果还是比较明显的。
2、 运营商级DDoS防护:对于流量较大的攻击,也只有运营商来防护了,运营商拥有较大的网络资源优势。运营商一般会提供两种防御方法,一种是直接进行封IP处理,比如使用RTBH技术等;还有就是对IP进行流量清洗,比如上海提供在四核心下的流量清洗服务,很多银行、互联网企业所喜好选择的服务。
DDoS防火墙常用部署方式,如下图:
1、 如上图左边情况,直接串联在网络中,这种情况可以时刻为所有IP和服务提供防护。
2、 如上图右边情况,旁挂方式,完成网络引流、清洗、回注等功能。这种情况下,仅在有需要时才进行DDoS防护,比较灵活。
举几个以前处理过的例子:
1、 UDP流量攻击,也是比较常见的起流量的攻击方式。
从以上图可以看出,瞬间起了很大的UDP攻击流量,由于源IP比较固定,就直接把源IP进行封了,但是通常情况下源IP不固定,为了不影响其他人,只有把目的IP封了。
2、 ICMP流量攻击
3、 SYN攻击
记得当时此SYN攻击流量差不多2G,持续了几个小时,但基本上被DDoS防火墙拦截下来了,没有进行封IP,现在DDoS防火墙也是十分成熟了,对流量攻击和SYN攻击一般都有较好的防御
写在后面:DDoS攻击远没有完,源头的难以追踪,攻击成本的十分廉价,现在剩余的也许仅有被动。将来该如何有效解决此类问题:使用CDN?使用SDN?还是使用FIA\XIA等未来网络?