ddos攻击安全防御的原理是什么?

DDos 攻击自打出现以后,就成为最难防御的攻击方式
DDos 攻击自打出现以后,就成为最难防御的攻击方式。仅仅在过去的一年里,DDoS 的数次爆发就让人大开眼界:

2016年4月,黑客组织对暴雪娱乐发动了 DDoS 攻击,魔兽世界、守望先锋多款游戏出现宕机的情况。 2016年5月,黑客组织针对全球银行机构发动 DDoS 攻击,导致约旦、韩国、摩纳哥等国的央行系统陷入瘫痪。 2016年9月,法国主机商 OVH 受到 DDoS 攻击,峰值达到1Tbps 2016年10月,DynDNS 受到 DDoS 攻击,北美众多网站无法访问,受影响的网站均排前列。

在你不经意之间,DDoS 可能已经在互联网上横行无忌了。

在谈攻防史之前,我们先来看看 DDoS 的攻击原理,知己知彼,百战不殆。

什么是 DDos 攻击?

DDoS攻击是分布式拒绝服务攻击(DistributedDenitionofService)的缩写,其核心是拒绝服务攻击。由于目标计算机的网络或系统资源不足,该服务被暂时中断或停止,使其正常用户无法访问它。攻击形式分为带宽消耗型和资源消耗型。带宽消耗类型包括UDP洪水攻击、ICMP洪水攻击等攻击类型,资源消耗类型包括CC攻击、SYN洪水攻击、僵尸网络攻击等。对于不同类型的攻击,我们的应对措施是不同的。然而,在我们的日常工作中,我们使用的DDoS攻击一般都是带宽消耗攻击,也就是说,黑客会向您的服务器发送大量UDP数据包,SYN数据包,从而使您服务器的带宽充满了攻击流量,无法向外界提供服务。例如,一个通过互联网访问你的服务器的用户就像一个过桥来找你的客人,但是由于你只有足够的钱建造一座双向四车道的桥,攻击者派了100辆大卡车在你的桥前被堵住,没有一个普通的客人能够过桥来找你。


在这种情况下,你如果想要让你的客人能够继续访问,那就需要升级你的大桥,来让有空余的车道给你的客人来通过。但是,在中国的带宽由三大运营商移动联通电信提供接入,互联网带宽的成本是非常高的,而攻击者使用肉鸡攻击,攻击的成本要低很多,所以我们无法去无限制的升级我们的带宽。

在互联网的初期,人们如何抵抗 DDoS 攻击?

DDoS现在不发生了。当防御没有时,人们如何抵抗DDoS攻击?在互联网的早期,IDC没有能力提供保护,也没有黑洞,所以攻击流量给服务器和交换机带来了很大的压力,导致网络拥塞,甚至服务器无法正常工作,许多IDC经常以简单而粗鲁的方式来响应,比如拔掉网络。后来,一些IDC在进入清洗程序时,可以攻击流程简单的过滤,大大降低了服务器和Intranet交换机的压力。但是机房的承载能力也是有限的,如果攻击的总数超过了机房的承载能力,那么整个机房的入口就会被封锁,导致机房内的所有服务器都因为网络堵塞而无法提供服务。


后来,黑洞出现了,但是那时候的黑洞也是在机房的入口配置,只是减轻了服务器的压力,如果攻击的总量超出了机房的承载能力,最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下,宣告了攻击者的得手,没有必要再尽心攻击,但是如果攻击者并没有因为目标无法访问而停手,那么机房入口仍有拥塞的风险。


后来,黑洞进一步升级,在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击时,DDoS防御系统调用运营商黑洞,在运营商侧丢弃流量,可以大大缓解DDoS攻击对机房带宽的压力。


云计算平台也广泛采用了此类黑洞技术隔离被攻击用户,保证机房和未受攻击用户不受DDoS攻击影响。 不仅如此,云计算平台的优势在于提供了灵活可扩展的计算资源和网络资源,通过整合这些资源,用户可以有效缓解DDoS带来的影响。
黑洞是如何抵挡 DDoS 攻击的


目前最常用的黑洞防御手段的流程图如上图所示。攻击时,黑客会从全球汇集攻击流量,攻击流量汇集进入运营商的骨干网络,再由骨干网络进入下一级运营商,通过运营商的线路进入云计算机房,直到抵达云主机。 而我们的防御策略刚好是逆向的,云服务商与运营商签订协议,运营商支持云服务厂商发布的黑洞路由,并将黑洞路由扩散到全网,就近丢弃指定IP的流量。当云服务商监测到被攻击,且超出了免费防御的限度后,为了防止攻击流量到达机房的阈值,云计算系统会向上级运营商发送特殊的路由,丢弃这个 IP 的流量,使得流量被就近丢弃在运营商的黑洞中。

为什么托管服务商不会替你无限制承担攻击?

一般来说,服务舱会帮助你承受少量的攻击,因为很多时候它可能是检测流量等,而不是真正的攻击,如果你每次扔进一个黑洞,用户体验都很差。DDoS攻击是我们的共同敌人,大多数云计算平台都试图免费保护客户大多数DDoS,并且客户分担DDoS的风险。当您受到大规模的DDoS攻击时,您不是唯一的受害者,整个机房、机群都会受到严重影响,所有服务的稳定性都无法保证。此外,正如我们前面提到的,DDoS是一种带宽消耗攻击,如果要解决它,带宽消耗攻击需要提高带宽,但是机房本身的最大成本是带宽成本。带宽由机房从电信、联通、移动和其他通信运营商购买。运营商的收费是根据带宽收取的。当收费时,运营商将不会清理DDoS的攻击流量,但也包括在计费中,这导致了高成本的机房。如果你不承担相应的成本,机房的无奈选择就是把你的服务器扔进黑洞。

当你的主机被攻击后,服务商如何处理?

目前随着大家都在普遍的上云,我们在这里整理了市场上的几家云计算服务提供商的黑洞策略,来供你选择。


AWS

AWS 的 AWS Sheild 服务为用户提供了 DDoS 防御服务。该服务分为免费的标准版和收费的高级班,免费的标准版不承诺防护效果,存在屏蔽公网 IP 的可能。付费版只需要每月交 3000 美元,则可以享受防护服务。

Azure

Azure 为用户提供了免费的抗 DDoS 攻击的服务,但是不承诺防护的效果。如果攻击的强度过大,影响到了云平台本身,则存在屏蔽公网 IP 的可能。

阿里云

阿里云的云盾服务为用户提供 DDoS 攻击的防护能力,在控制成本的情况下,会为用户免费抵御 DDoS 攻击,当攻击超出阈值后,阿里云就会对被攻击 IP 实行屏蔽操作。 阿里云免费为用户提供最高 5Gbps 的恶意流量的攻击防护,你可以在各个产品(ECS、SLB、EIP等)的产品售卖页面看到相关的说明和条款。在其帮助文档也说明了相关的服务的限制。

腾讯云

腾讯云也为用户提供了免费的 DDoS 攻击防护服务,其免费提供的防御服务的标准如下:外网 IP 被攻击峰值超过 2Gbps 会执行 IP 封堵操作(丢入黑洞),一般黑洞的时长为2小时,大流量攻击时,封堵的时长从24小时到72小时不等。

普通 IDC

普通的 IDC 大多不提供防御能力,如果受到攻击,会存在被拔网线的可能。

如何合理的借助云计算的能力来抵抗 DDoS 攻击

合理的借助云计算的能力,可以让我们尽可能的减少被攻击时的损失: 1,充分利用云平台的弹性可扩展资源。设计可以横向扩展的系统架构,避免IP资源或者CPU资源耗尽,不仅可以有效缓解DDoS攻击的影响,而且可以提升系统可靠性。 2,缩小攻击半径。在设计系统时分离应用层和数据层,分离网络访问层和系统服务层,充分利用云服务提供商提供的云数据库、云存储、负载均衡、云网络等产品,可以有效缓解DDoS攻击的危害。 3,考虑选择合适的DDoS防护方案,主动抵御可能出现的DDoS攻击。 4,准备应对DDoS预案,第一时间响应并实施应对方案。

相关标签

人民网

0 篇新闻