对抗攻击的方法

DDOS攻击总结

最近对ddos攻击进行了基本的调查，对DDOS攻击的原因及其检测和防御系统有了一些粗浅的了解。本文的关键在于对传统网络结构下城域网自然环境中DDOS攻击的一些思考。

DDOS攻击的原因及已知攻击的防御措施

DDOS攻击与其他非常复杂的互联网攻击相比，除了攻击方法的应用，更是对资源的极大竞争，即服务器带宽资源和server空。在资源不足的情况下，防御DDOS攻击就是空洞。所以现阶段防御DDOS攻击的关键还是靠硬件配置的安全防护，手机软件的安全防护作用并不大。

DDOS攻击无法防御的关键原因是系统漏洞太多，攻击手段太多。在互联网数据传输全过程使用的OSI七层网络模型中，每一层大部分都有可以被DDOS攻击利用的协议。根据DDOS攻击使用的协议的互联网级别，现阶段已知的DDOS攻击类型和防御措施总结在表1-3中。关于今天DDOS攻击防御的更多详细信息，请参考华为手机DDOS防御总结贴。

表1

表2

表3

DDOS攻击的关键在传输层，其最明显的特点是推送大量攻击数据文件，消耗服务器带宽资源，危及所有正常客户的浏览。如今，传输层DDOS攻击的检测和防御技术已经很完善，一些新的攻击方式——网络层DDOS攻击也出现了。与传输层的DDOS攻击不同，网络层的DDOS攻击大多模仿合理合法客户的浏览个人行为。在整个数据传输过程中不容易造成很多攻击数据文件，但是会根据数据库等很多实际 *** 作消耗网络服务器的资源，检测难度更大。根据攻击方法的不同，DDOS攻击包括一般的洪泛攻击，也包括扩大反射面攻击。这种攻击通常以合理合法的网络服务器为波导，向攻击的整体目标推送大量数据文件，造成更大的危害。目前，针对DNS网络服务器的DDOS攻击也普遍存在。攻击者通常会向DNS服务器发送虚假的网站域名，消耗DNS服务器空之间的时间。另外，由于DNS网络服务器有递归查询系统，所以对DNS网络服务器的DDOS攻击危害很大。

除了各种攻击手段之外，DDOS攻击中通常使用虚假源IP，这也是DDOS攻击无法防御的原因之一。

城域网中DDOS攻击的检测与防御

DDOS攻击的检测和防御应该作为一个整体的系统软件来考虑，应该从攻击前、攻击中、攻击后三个不同的环节来进行。

攻击前:对已知类型的攻击采取有效的防御措施，如改变服务器参数、设置代理等。

当攻击发生时:清理流量并过滤攻击数据包。

攻击后:分析攻击原因，准确定位攻击源。

在以上三个环节中，进攻无疑是最重要的一环。对于DDOS攻击，最好的防御措施是在及早发现攻击的前提下，快速过滤攻击包，保证客户合理合法的浏览。目前对于DDOS攻击，安全企业的关键方式是清理流量。通用流量清理框架如图1所示。

图1

在该框架中，首先根据分光计或反射镜系统收集数据文件进行攻击检测。然后攻击检测控制模块使用检测优化算法进行攻击检测。虽然学术界有深度包分析(DPI)、深度/动态流量检测(DFI)等多种利用深度学习基本原理的攻击检测方法，但从工程项目的高效性来看，构建流量实体模型、设置安全阈值或安全基线应该是最高效的方式。虽然DDOS攻击有很多种，但它们的目的都很独特——消耗资源。因此，在攻击检测中，DDOS攻击的类型并不重要，重要的是DDOS攻击是否发生。现阶段。即使选择设置流量阈值的攻击检测方法，在很多业务流程中仍然会遇到如何设置有效流量阈值的问题。

如果检测到攻击，管理处将启动清理方案，根据BGP、CDN等方式，拉取攻击流量和所有正常流量的流量。将混合流拖至流清洗管理中心进行清洗。整个流量清洗过程中遇到的难点是，现阶段DDOS攻击呈现混合攻击，多种攻击方式并存。在这种情况下，如何高效地检测攻击是当今面临的关键问题。查阅了很多资料，发现华为的“七层清洁计划”很有创意。该方案根据静态数据过度过滤、异常报文格式过度过滤、扫描仪窥视报文格式过度过滤、来源合理合法验证、对话阻止、特征判别过度过滤、流量整形疏导等七项防御措施，对混合流量的数据文件进行综合分析，在更高的层面上检测攻击流量。华为“七层清洗计划”的架构如图2所示。流量被清理后，攻击流量被丢弃，所有正常流量根据MPLS和GRE隧道构建技术被重新注入回互联网。

图2

在针对DDOS攻击的防御措施中，对策的部署也是必须仔细考虑的部分。目前比较有效的部署对策是:测试机器和设备靠近业务流程服务器部署，近源清理和旁路部署。攻击是分布式系统，防御也必须考虑分布式系统的部署对策。

开源系统DDOS攻击防御专用工具

目前开源系统中针对ddos攻击的专用工具很多(攻击成本低是DDOS攻击容易产生的原因之一)，但针对DDOS攻击防御的专用工具并不多。Fastnetmon是一款基于各种数据包捕获软件模块的高效DDOS攻击分析工具。它可以检测和分析互联网中的异常流量情况，并根据外部脚本进行公告或阻止攻击。根据集成的InfluxDB和Grafana，可以构建一个数据可视化的DDOS安全报警系统。

以上是现阶段对DDOS攻击的一些基本掌握和思考，之后有机会再进一步完善。