随着互联网的发展,DDoS攻击流量峰值越来越高,从1G到10G,从10G再到100G。
2017年,360安全团队检测到一场流量规模史无前例的DDoS攻击,致使全球多个云服务器崩溃,该攻击最高流量接近1.4T。DDoS攻击正式迈入T级时代。
虽然这次检测T级流量没有得到广泛认可,但在2018年初,GitHub遭受峰值达1.35TB/秒新闻上了热搜,不到一周时间,又传出黑客以每秒1.7Tbps流量企图攻击某实体系统。2020年,亚马逊宣布成功抵御2.3T峰值的攻击流量,再次刷新历史记录。人们这才意识到,T级别DDoS攻击离我们越来越近了。
DDoS防御历史
DDoS作为一种古老的攻击方式,其防御方式也经历了几个阶段。
内核优化时代
互联网蛮荒时代,带宽很小,大部分用户通过56K的modem拨号上网,当时虽然没有类似DDoS云清洗服务还抵御DDoS攻击,但黑客所能利用的带宽量也小。
对于防御方而言,只需通过优化内核参数、iptables就能解决DDoS攻击。DDoS频发的行业,还可以通过编写内核防护模块来提升抗D能力。
硬件防火墙时代
Anti-DDoS硬件防火墙成为这个时代的主流抗DDoS产品。
Anti-DDoS硬件防火墙对功耗、转发芯片、操作系统等各个部分进行优化,以达到防御DDoS的目的。Anti-DDoS硬件防火墙可以抗住100GBPS甚至更高的DDoS攻击,对主流的攻击方式,例如SYN-FLOOD、CC攻击、DNS-FLOOD等都有较强的防御能力。
但是这种方式成本相当高, 攻击者虽然不能瘫痪服务器,但防御方往往也会付出很大的成本代价。
DDoS云清洗时代
云计算时代,抗D有了更好的方案。当检测到异常流量,或者超出IDC机房的流量阈值时,先将流量转到云平台进行清洗,然后再将干净的流量转发回用户真正的源站,这样一来DDoS防护复杂度被简化,成本也下降了不少。
那么,DDoS云清洗到底是怎么抵御DDoS攻击的呢?:
防御方式
带宽
理论上,只要带宽足够大,任何DDoS都无法影响业务的正常运行。对于国内DDoS情况来说,300Gbps的防护能力是入门级别的,一些云服务提供商还会提供1Tbps以上的防护能力。
大流量清洗集群
DDoS云清洗的一项关键技术是如何将攻击流量拦截下来,攻击防护、集群架构、运营体系、负载均衡及数据分析系统是五种主要手段。
(1) 攻击防护
绝大多数专业的DDoS清洗设备的防护方法有:畸形包、特定协议丢弃、源反弹认证体系、统计限速、行为识别等,对主流的DDoS攻击方式均有效果。
(2) 集群架构
DDoS云清洗必须采用集群架构,拥有弹性扩容的能力。
(3) 运营体系
完善的运营体系,是对抗DDoS攻击最重要的环节。云服务厂商需要经过多年与DDoS对抗的经验积累,同时还能最快速度发现新型攻击,快速分析和找到解决办法。
(4) 负载均衡
负载均衡技术是DDoS云清洗的关键技术,这里面包括4层负载均衡和7层负载均衡。
- 4层负载均衡技术,为每一个客户业务提供一个独享的IP,本身的转发能力要高性能、高可用性,同时还要具备安全防护能力,能够对抗连接型攻击。
- 7层负载均衡技术,针对网站类业务的代理和防护,对HTTP/HTTPS协议的支持,各种CC攻击的防护,都会集成在7层负载均衡的系统里面。
(5) 数据分析系统
对流量进行分析、应用识别、攻击分析,DDoS攻击防护都必须做到这些。目前主流的DDoS清洗都已经摆脱了传统的统计分析算法,引入行为识、机器学习等方式,能够更好的帮助客户进行攻击防护。