DDOS的攻击原理与防范

前言

一直以来,DDOS攻击已经不再是新鲜的话题,近年来也没有放缓的迹象,反而是越演越烈,成上升趋势，最为经典案例，某省运营商遭受了DDOS攻击，爆发了DNS网络DDoS攻击事件。从凌晨开始，网络监控的攻击流量出现了突增的情况，到上午11点开始攻击开始活跃起来，多个省份不断出现网页访问缓慢甚至无法打开故障现象。高峰时竟然出现了高达6G的攻击混合流量，对DNS网络的冲击可想而知。经过专业人员分析，攻击主要是针对多个域名随机查询攻击；11日凌晨攻击出现变种，出现针对其他域名的攻击，攻击源主要来自各省内。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求，而且连续的变换二级域名，造成各省的DNS递归服务器延迟增大，业务受到严重影响。

DDOS介绍

DDOS全名是DistributedDenial of service (分布式拒绝服务),即很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击，DDOS最早可追溯到1996年最初，在中国2002年开始频繁出现，2003年已经初具规，DDOS攻击事件正在成上升趋势。F5公司把DDOS攻击主要分为四种类型：容量耗尽型攻击、非对称攻击、计算资源耗尽型攻击和基于漏洞的攻击。攻击的特征为：容量耗尽型攻击—洪水攻击，可能发生在网络第3层、第4层或第7层;非对称攻击—攻击旨在引发超时或会话状态变化;计算资源消耗型攻击—攻击旨在消耗CPU和内存;基于漏洞的攻击—利用软件漏洞发起攻击。

F5制定DDoS攻击防护解决方案

基于云计算的DDoS攻击清洗服务

基于云计算的外部DDoS攻击清洗服务是所有DDoS攻击缓解架构的重要组件。当攻击者向一个企业的1 Gbps入口点发送50Gbps数据时，即使再多的企业系统设备也无法解决这一问题，这好比有太多的人想要同时通过一个门口。而云计算服务不论是由真正的公共云托管，还是由企业内部的带宽服务提供商托管，都可以通过大致区分流量好坏来解决这一问题。

尽管在当前的攻击中，只有一部分的容量耗尽攻击能够消耗所有可用的入口带宽，但此类攻击已经够多了，因此需要与云服务提供商达成协议，使其成为整个解决方案中的一个重要组成部分。但是，基于云计算的清洗服务本身是不够的，甚至云服务提供商自己也承认这一点。

支持DDoS攻击感知的网络防火墙

长期以来，网络防火墙一直是边界安全的重要基石。但是，许多网络防火墙根本不能抵御DDoS攻击。实际上，许多热销的防火墙在遭受最简单的4层攻击时便会失效。如果防火墙不会识别和缓解攻击，单纯的吞吐量于事无补。对基于网络第3层和第4层的安全控制设备，选择支持DDoS攻击感知的大容量网络防火墙。具体说来，架构师应当寻求能够支持数百万（而非数千）并发连接，抵制SYN洪水攻击，而不会影响合法流量的防火墙。

支持集成DDoS攻击防护的Web应用防火墙

Web应用防火墙是一种能够理解并执行应用安全策略的高级组件。该组件可发现并缓解应用层攻击，不论是对耗尽容量的HTTP洪水攻击还是基于漏洞的攻击都可有效防御。

入侵检测和防御系统

入侵检测和防御系统（IDS/IPS）在缓解DDoS攻击中只起到较小的作用。F5建议不应当将IDS/IPS功能只部署在一个位置（例如，集成到第4层防火墙中）。IDS/IPS应当部署在可能需要特定额外保护的后端组件前面，例如数据库或特定网络服务器等。

IP信誉数据库

IP信誉数据库可防止DDoS攻击者使用已知的扫描程序刺探用户应用，由此帮助用户抵御非对称DDoS攻击。IP信誉数据库可在F5推荐的两层架构的任何一层使用，并且可由内部生成，或者由外部服务商提供。

多层DDoS攻击防护架构

对于高带宽客户，F5建议采用两层DDoS解决方案。第1层位于边界，包括3层和4层网络防火墙服务以及对第2层的简单负载均衡。第2层由更加尖端以及CPU更密集的服务组成，包括SSL终结和Web应用防火墙群组。

F5DDoS攻击防护架构中的组件:

AFM 高级防火墙管理器™ LTM本地流量管理器™;GTM广域流量管理器 ™ASM应用安全管理器™

结束语

面对永不消灭的DDOS安全问题，F5专业的DDOS攻击防护解决方案帮助您检测软件及设备网络层和应用层来对抗现在的DDOS威胁。