基于DDOS高防IP系統(tǒng)預(yù)防DDOS攻擊的原理

楊玉蘭

摘要：DDoS攻擊的預(yù)防技術(shù)歷經(jīng)內(nèi)核優(yōu)化、專(zhuān)業(yè)抗DDoS硬件防火墻、云時(shí)代的DDoS高N-IP系統(tǒng)三個(gè)階段。DDoS高防IP系統(tǒng)主要有良好的帶寬&網(wǎng)絡(luò)、大流量清洗集群體系、負(fù)載均衡設(shè)備&安全組件以及數(shù)據(jù)實(shí)時(shí)分析系統(tǒng)等四大關(guān)鍵組成，但該系統(tǒng)還存在木桶短板缺陷，任何一個(gè)關(guān)鍵組成的防御效果都會(huì)影響到整體的防御效果。未來(lái)的DDoS高防IP系統(tǒng)應(yīng)該具備彈性帶寬、高冗余、高可用、訪問(wèn)質(zhì)量?jī)?yōu)、業(yè)務(wù)接入簡(jiǎn)單的特點(diǎn)。

關(guān)鍵詞：DDOS攻擊;高防IP;大流量清洗集群

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）32-0057-02

DDoS攻擊即Distributed Denial of Service（分布式拒絕服務(wù)）攻擊，是攻擊者通過(guò)遠(yuǎn)程控制大量分散在不同地域的傀儡機(jī)定時(shí)或?qū)崟r(shí)在同一時(shí)間向遠(yuǎn)程受害者計(jì)算機(jī)發(fā)送大量貌似合法的申請(qǐng)，在短短的數(shù)秒內(nèi)即可導(dǎo)致網(wǎng)站無(wú)法登陸、頁(yè)面打不開(kāi)、游戲掉線或卡死以及網(wǎng)絡(luò)不通等網(wǎng)絡(luò)阻塞或資源耗盡從而導(dǎo)致服務(wù)器拒絕服務(wù)的攻擊行為。隨著我國(guó)經(jīng)濟(jì)、政治地位的不斷提升，來(lái)自國(guó)際的DDoS攻擊越來(lái)越多，僅次于美國(guó)。而且現(xiàn)在許多專(zhuān)屬服務(wù)器、社交平臺(tái)以及黑市、“肉雞集群”和在線DDoS平臺(tái)等跨網(wǎng)調(diào)度流量越來(lái)越方便、流量購(gòu)買(mǎi)價(jià)格越來(lái)越低廉，使得攻擊者能以更低的成本發(fā)起更大規(guī)模的攻擊。其國(guó)際化、超大規(guī)?；褪袌?chǎng)化的發(fā)展趨勢(shì)使之成為目前最強(qiáng)大、最難防御的網(wǎng)絡(luò)攻擊之一，嚴(yán)重威脅著網(wǎng)絡(luò)安全。

1預(yù)防DDoS攻擊的技術(shù)發(fā)展歷程

伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，預(yù)防DDoS攻擊的技術(shù)經(jīng)歷了早期的內(nèi)核優(yōu)化、中期的專(zhuān)業(yè)抗DDoS攻擊硬件防火墻以及云時(shí)代的DDoS高防IP系統(tǒng)三個(gè)發(fā)展階段。

1.1內(nèi)核優(yōu)化階段

在互聯(lián)網(wǎng)發(fā)展早期，互聯(lián)網(wǎng)帶寬較小，用戶大多是用電話線加“貓”（modem）撥號(hào)上網(wǎng)，攻擊者可以使用的帶寬也就小。普通用戶一般是通過(guò)IPTABLES就能基本解決攻擊，有內(nèi)核開(kāi)發(fā)能力的可以通過(guò)優(yōu)化內(nèi)核參數(shù)、編寫(xiě)內(nèi)核防護(hù)模塊來(lái)提升防護(hù)能力。在這個(gè)階段，Linux本身就提供基本預(yù)防DDoS攻擊的功能?？梢酝ㄟ^(guò)調(diào)整net.ipv4.tep_max_syn_baeklog參數(shù)控制半連接隊(duì)列上限避免連接被打滿，調(diào)整net.ipv4.tep_tw_reeyele，net.ipv4.tep_fin_timeout控制tcp狀態(tài)保持在TIME-WAIT，F(xiàn)IN-WAIT-2的連接個(gè)數(shù)，從而預(yù)防SYN FLOOD攻擊;通過(guò)控制IPTABLES來(lái)關(guān)閉和限制ping報(bào)文的速率，也可以過(guò)濾掉不符合RFC協(xié)議規(guī)范的畸形報(bào)文，就可以預(yù)防ICMP FLOOD攻擊。內(nèi)核優(yōu)化技術(shù)優(yōu)化的是單臺(tái)服務(wù)器。

1.2專(zhuān)業(yè)抗DDoS硬件防火墻

專(zhuān)業(yè)抗DDoS硬件防火墻對(duì)功耗、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等各個(gè)部分都進(jìn)行了優(yōu)化，部署在機(jī)房人口處為整個(gè)機(jī)房提供DDoS流量清洗服務(wù)。經(jīng)歷了從單臺(tái)百兆逐步到1Gbps、10Gb-ps、20Gbps、100Gbps或者更高，清洗服務(wù)也基本涵蓋了3-7層的各種攻擊（SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等）。這種方式硬件成本高，還需有專(zhuān)業(yè)的運(yùn)維人員。

1.3云時(shí)代的DDoS高防IP系統(tǒng)

云時(shí)代到來(lái)后，服務(wù)器逐漸部署在各種云上或者傳統(tǒng)的IDC機(jī)房里面，沒(méi)有統(tǒng)一的DDoS基礎(chǔ)清洗服務(wù)標(biāo)準(zhǔn)，“黑洞”閾值也不同，面對(duì)不同規(guī)模的超大流量DDoS攻擊時(shí)，不同的服務(wù)器就會(huì)啟動(dòng)“黑洞”，屏蔽服務(wù)器的外網(wǎng)訪問(wèn)，避免攻擊持續(xù)，影響整體機(jī)房的穩(wěn)定性。

在這種情況下，DDoS高防IP系統(tǒng)應(yīng)運(yùn)而生。DDoS高防IP系統(tǒng)建立各種大帶寬的機(jī)房，為用戶提供有償服務(wù)，用戶只需要把域名解析到高防IP（Web業(yè)務(wù)把域名解析指向高防IP;非Web業(yè)務(wù)把業(yè)務(wù)IP替換成高防IP），并配置源站IP。配置完成后，所有公網(wǎng)流量都將經(jīng)過(guò)高防IP機(jī)房，清洗過(guò)濾惡意攻擊流量，通過(guò)端口協(xié)議轉(zhuǎn)發(fā)正常流量到源站lP，從而確保源站lP穩(wěn)定訪問(wèn)。該系統(tǒng)可以滿足對(duì)大寬帶的剛性需求，用戶也隱藏了源站，還可以靈活更換清洗服務(wù)商。

2DDoS高防IP系統(tǒng)關(guān)鍵組成

DDoS高防IP系統(tǒng)有四大關(guān)鍵組成：良好的帶寬&網(wǎng)絡(luò)、大流量清洗集群體系、負(fù)載均衡設(shè)備&安全組件以及數(shù)據(jù)實(shí)時(shí)分析系統(tǒng)，如圖1所示。

2.1良好的帶寬&網(wǎng)絡(luò)

良好的帶寬&網(wǎng)絡(luò)是預(yù)防DDoS攻擊的必然要求。首先要擁有一個(gè)高帶寬的機(jī)房，目前國(guó)內(nèi)主流機(jī)房主要為電信單線機(jī)房、聯(lián)通單線機(jī)房、移動(dòng)單線機(jī)房和BGP多線機(jī)房，如圖2所示。它們性能上各有千秋：BGP機(jī)房訪問(wèn)質(zhì)量高，網(wǎng)絡(luò)最優(yōu)選路，只需要一個(gè)IP地址，多線接入，業(yè)務(wù)復(fù)雜度低，BGP協(xié)議本身具有冗余、消除環(huán)路的特點(diǎn)，當(dāng)服務(wù)商有多條互聯(lián)線路可以實(shí)現(xiàn)路由的相互備份時(shí)，一旦一條線路出現(xiàn)故障時(shí)路由就會(huì)自動(dòng)切換到其他線路。BGP機(jī)房唯一的不足就是DDoS帶寬相對(duì)較小，成本昂貴。三大運(yùn)營(yíng)商單線機(jī)房則恰恰相反。

良好的帶寬&網(wǎng)絡(luò)的另外一個(gè)要求就是帶寬上限越高越好。目前國(guó)內(nèi)的DDoS高防IP系統(tǒng)，300Gbps的防護(hù)能力都是人門(mén)級(jí)別的，1Tbps的防護(hù)能力乃至無(wú)限抗的解決方案越來(lái)越多的出現(xiàn)用戶的選擇中。

2.2大流量清洗集群體系

DDoS清洗的核心是攔截攻擊流量并清洗。擁有了良好的帶寬&網(wǎng)絡(luò)，專(zhuān)業(yè)DDoS清洗防護(hù)設(shè)備的主要防護(hù)方法包括：畸形包、特定協(xié)議丟棄;源反彈認(rèn)證體系;統(tǒng)計(jì)限速&行為識(shí)別等?；伟⑻囟▍f(xié)議丟棄法就是對(duì)于不符合RFC協(xié)議規(guī)范的報(bào)文、反射類(lèi)攻擊用指定特征的方式進(jìn)行防護(hù)。源反彈認(rèn)證是針對(duì)synflood的防護(hù)方法，一般采用反向驗(yàn)證，即清洗設(shè)備替服務(wù)端校驗(yàn)訪問(wèn)源的真實(shí)性，也就是在TCP第二次握手即回復(fù)synack報(bào)文時(shí)，用特殊算法生成序列號(hào)，并在ack報(bào)文時(shí)確認(rèn)。如果是真實(shí)訪問(wèn)者，放行流量。對(duì)于復(fù)雜的CC攻擊則反彈一個(gè)圖片驗(yàn)證碼來(lái)校驗(yàn)是否為真實(shí)客戶。統(tǒng)計(jì)限速&行為識(shí)別則會(huì)綜合各種黑白名單以及用戶訪問(wèn)速率、行為，進(jìn)行速率控制防護(hù)。

大流量清洗集群體系還必須有彈性擴(kuò)容的能力，否則，一旦攻擊流量的五元組的hash不均勻，他們大概率會(huì)擁塞，攻擊流量就無(wú)法送到清洗設(shè)備引擎上去。

2.3負(fù)載均衡設(shè)備&安全組件

負(fù)載均衡技術(shù)包括4層負(fù)載均衡技術(shù)和7層負(fù)載均衡技術(shù)。

4層負(fù)載均衡技術(shù)，為每一個(gè)客戶業(yè)務(wù)提供一個(gè)獨(dú)享的IP，本身的轉(zhuǎn)發(fā)能力要高性能、高可用性，同時(shí)還要具備安全防護(hù)能力，能夠?qū)惯B接型攻擊。獨(dú)享的IP使得一個(gè)業(yè)務(wù)IP被攻擊，不會(huì)影響其他的業(yè)務(wù)，資源隔離。高可用、可擴(kuò)展就可根據(jù)應(yīng)用負(fù)載進(jìn)行彈性擴(kuò)容，在流量波動(dòng)情況下隨時(shí)增加或減少后端服務(wù)器的數(shù)量，擴(kuò)展應(yīng)用的服務(wù)能力，不中斷對(duì)外服務(wù)。具備in/out雙向流量信息，能提供精細(xì)化、域名級(jí)別、session級(jí)別等應(yīng)用級(jí)別DDoS防護(hù)，安全防護(hù)能力大幅提升。

7層負(fù)載均衡技術(shù)，針對(duì)網(wǎng)站類(lèi)業(yè)務(wù)的代理和防護(hù)，對(duì)I-ITFP/HTYPS協(xié)議的支持，各種CC攻擊的防護(hù)，都會(huì)集成在7層負(fù)載均衡的系統(tǒng)里面。

如果對(duì)4層和7層進(jìn)行安全功能深度開(kāi)發(fā)，上下游配合在大流量清洗集群體系配合下還能將防護(hù)進(jìn)一步提升。

2.4數(shù)據(jù)實(shí)時(shí)分析系統(tǒng)

首先是數(shù)據(jù)源。數(shù)據(jù)源機(jī)制有很多種，常用NetFlow進(jìn)行采樣分析攻擊檢測(cè)，也可用1：1分光分流方式獲取全部流量統(tǒng)計(jì)檢測(cè)。由于1：1分光的方式需要更高的資源和更高效的數(shù)據(jù)分析系統(tǒng)，需要研發(fā)能力和技術(shù)支撐，取得的效果也更佳。

其次是區(qū)分應(yīng)用。拿到原始報(bào)文和數(shù)據(jù)后，應(yīng)用的區(qū)分可以是IP級(jí)別，也可以是IP+端口級(jí)別或是域名級(jí)別。不同業(yè)務(wù)的防御方法是有差別的，需要做到根據(jù)業(yè)務(wù)特性來(lái)制定專(zhuān)業(yè)的防御方案。

最后是攻擊分析。目前DDoS攻擊分析引人了行為識(shí)別、機(jī)器學(xué)習(xí)的理論和實(shí)踐，這些算法既能幫助我們對(duì)攻擊進(jìn)行更好的防護(hù)，還可以有效的實(shí)時(shí)應(yīng)用到用戶的防御對(duì)抗中。

3結(jié)束語(yǔ)

據(jù)以上分析可以得出，DDoS高防IP系統(tǒng)還存在木桶短板缺陷，任何一個(gè)關(guān)鍵組成的防御效果都會(huì)影響到整體的防御效果。未來(lái)的DDoS高防IP系統(tǒng)應(yīng)該具備彈性帶寬、高冗余、高可用、訪問(wèn)質(zhì)量?jī)?yōu)、業(yè)務(wù)接入簡(jiǎn)單的特點(diǎn)。