已阅读
公有云搭载高防CDN如何进行DDOS防护
DDoS全称Distributed Denial of Service,中文为“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。通俗点讲就是利用网络节点资源如:服务器、个人PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求,从而导致服务器拥塞而无法对外提供正常服务。
不同于其他恶意篡改数据或劫持类攻击,DDoS简单粗暴,可以达到直接摧毁目标的目的。另外,相对其他攻击手段DDoS的技术要求和发动攻击的成本很低,只需要购买部分服务器权限或控制一批肉鸡即可,而且攻击相应速度很快,攻击效果可观。另一方面,DDoS具有攻击易防守难的特征,服务提供商为了保证正常客户的需求需要耗费大量的资源才能和攻击发起方进行对抗。
DDoS攻击的类型
为了了解不同的DDoS攻击如何工作,有必要知道如何建立网络连接。互联网上的网络连接由许多不同的组件或“层”组成。就像从头开始建造房屋一样,模型中的每个步骤都有不同的用途,如下图:
尽管几乎所有的DDoS攻击都涉及到目标设备或网络的流量,但攻击一般可以分为下面三类。
-
应用层攻击
应用层攻击利用了网络协议栈第6、7层中的弱点,针对特定的应用而不是整个服务器进行攻击,他们常见的目标端口和服务是DNS和HTTP服务。有时也称为第7层DDoS攻击(相对于OSI模型的第7层),这些攻击的目标是耗尽目标的资源。攻击针对的是服务器上生成网页并响应HTTP请求而进行传递的应用层。单个HTTP请求在客户端执行的成本很低,而目标服务器响应的成本可能很高,因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击很难防御,因为流量很难标记为恶意流量。
应用层攻击示例:HTTP Flood
这种攻击类似于在许多不同的计算机上一次又一次地在浏览器中按下刷新导致大量HTTP请求泛滥到服务器上,把服务器的资源耗尽,从而导致拒绝服务。
攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP报文,请求涉及数据库操作的URI(Universal Resource Identifier)或其它消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。
-
协议攻击
协议攻击是利用网络协议工作机制的弱点进行攻击的一种方式,协议攻击(也称为状态耗尽攻击)通过消耗Web应用程序服务器或防火墙和负载平衡器之类的中间资源的所有可用状态表容量,导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点使目标无法访问。
协议攻击示例:SYN Flood
该攻击利用TCP协议缺陷,通过向目标发送大量带有欺骗性源IP地址的TCP“初始连接请求” SYN数据包来进行TCP握手。目标计算机会响应每个连接请求,然后等待握手的最后一步(此过程永远不会发生),从而耗尽了目标服务器的资源。
攻击者试图耗尽目标网络/服务内部的带宽、目标网络/服务与互联网之间的带宽。也叫反射攻击或者放大攻击,该类攻击以UDP协议为主,一般请求回应的流量远远大于请求本身流量的大小。攻击者通过流量被放大的特点以较小的流量带宽就可以制造出大规模的流量源,从而对目标发起攻击。耗尽可用带宽来造成拥塞。
通常,可以用于放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。利用很少的带宽即可发起流量巨大的DDoS攻击,通过流量放大可以将攻击流量放大50~100倍,1Gbps攻击流量经过放大可以达到100Gbps甚至更多,可以轻易淹没用户侧昂贵的公网接入链路带宽,最常见的attacks如下:
-
UDP flood:黑客伪造UDP数据包中的源地址为受害主机发送到大量主机随机端口,这些主机会生成大量的应答包返回给受害主机。
-
ICMP flood:黑客通过大量的ICMP数据包或ping,试图耗尽受害服务器的带宽。
大流量攻击示例:DNS放大攻击
攻击者利用开放式DNS解析器的功能,以便使大量的流量压倒目标服务器或网络。通过向具有欺骗性IP地址(目标的真实IP地址)的开放DNS服务器发出请求,目标IP地址将收到来自DNS服务器的响应。攻击者构造请求,以便DNS服务器以大量数据响应目标。耗尽可用带宽来造成拥塞。
缓解DDoS攻击的方法
缓解DDoS攻击的关键问题是区分攻击和正常流量。例如,如果某个公司新产品发布的网站充斥着热切的客户,那么切断所有流量就是一个错误。如果该公司的突然流量来自已知的不良行为者,则可能有必要采取措施缓解攻击。困难在于它难以区分真正的客户和攻击流量。
在现代互联网中,DDoS流量以多种形式出现。流量在设计上可能有所不同,从未经欺骗的单源攻击到复杂的自适应multi-vectorattacks.(混合矢量攻击或叫混合DDoS攻击)。混合DDoS攻击使用多种攻击途径,以不同的方式压倒目标,从而可能分散任何一条轨道上的缓解努力。这种攻击同时针对协议栈的多层,例如DNS放大(目标层3/4)与HTTP Flood(目标层7)耦合。常见的缓解DDoS攻击的方法有下面几种:
黑洞路由
几乎所有网络管理员都可以使用的解决方案是创建黑洞路由,并将流量汇入该路由。以最简单的形式,当在没有特定限制条件的情况下实施黑洞过滤时,合法和恶意网络流量都会路由到空路由或黑洞,并从网络中丢弃。
黑洞路由最大的好处是充分利用了路由器的包转发能力,对系统负载影响非常小。
限速
限制服务器在特定时间范围内接受的请求数量也是减轻DDoS攻击的一种方法。虽然速率限制有助于减缓Web爬虫窃取内容的速度并减轻暴力登录尝试,但仅靠速率限制可能不足以有效地处理复杂的DDoS攻击。但是,速率限制是有效的DDoS缓解策略中有用的组成部分。
Web应用防火墙
Web应用程序防火墙(WAF)是一种工具,可以帮助缓解第7层DDoS攻击。通过将WAF放在Internet和原始服务器之间,WAF可以充当反向代理,从而保护目标服务器免受某些类型的恶意流量的侵害。通过基于用于识别DDoS工具的一系列规则过滤请求,可以阻止第7层攻击。有效的WAF的一个关键价值是能够快速实施自定义规则以应对攻击。
Anycast网络扩散
Anycast技术是一种网络寻址和路由方法。在Anycast寻址过程中. 流量会被导向网络扑结构上最近的节点, 在这个过程中, 攻击者并不能对攻击流量进行操控,因此攻击流量将会被分散并稀释到最近的节点上,每一个节点上的资源消耗都会减少。这种缓解方法使用Anycast网络将攻击流量分散到分布式服务器网络中,直至网络吸收流量。就像将一条湍急的河流沿着单独的较小河道引导一样,这种方法将分布式攻击流量的影响分散到可以控制的程度,从而分散了任何破坏性能力。
缓解DDoS攻击的服务
面对DDoS攻击威胁,早期的用户通常在本地网络边界处部署一些抗DDoS攻击的硬件设备,对进入本地网络的流量进行实时检测,一旦发现带有攻击特征流量则进行阻断或者丢弃,这样做的确可以起到一定程度的DDoS缓解作用。但ROI低,TCO高,对耗尽网络带宽的DDoS攻击无能为力。如今云计算越来越成为主流,目前主流的DDoS攻击流量缓解服务有以下几种方式:
1.由DDoS设备厂商提供云清洗+本地清洗服务。
DDoS设备厂商利用自身技术和设备优势,在某些网络区域建设流量清洗云节点,为本区域内的用户提供流量清洗服务。
2.由CDN服务提供商提供流量清洗服务。
CDN主要用于网络加速,提高用户访问网站的响应速度,CDN类似于给被保护目标增加了一个大规模分布式缓存层,对于防御各种资源消耗型流量型网络攻击有很好的效果。单独一个用户的硬件资源和带宽有限,很快就会被DDoS攻击消耗掉,但高防CDN加速的资源要比单独一个用户多得多,有能力应对一定程度的DDoS攻击,因此免费CDN服务商在CDN基础服务外通常都会提供DDoS防护增值服务。CDN服务商可以通过DNS重定向方式或者BGP方式牵引攻击流量,通过DNS智能调度攻击流量,将攻击流量化整为零并分散到各个CDN节点上进行处理,减少单一节点资源不足被攻击流量打垮的风险;通过高防CDN加速防御DDoS攻击,需要隐藏好源站IP,如果攻击者获取到源站IP就可以无视CDN的存在而直接针对源IP发起DDoS透传攻击,为了更有效的防御此类攻击,可以在源站IP前再增加一层保护,例如WAF等设备。
3.由公有云服务商提供DDoS防护云服务。
公有云服务商一般提供免费的基础防护和需要付费的高级防护。免费的基础防护不承诺防护的效果。如果攻击的强度过大,影响到了云平台本身,则存在屏蔽公网 IP 的可能或者直接丢入黑洞。
4.由运营商提供流量清洗服务。
运营商是骨干网、城域网、接入网的拥有者和运营者,负责除了专线网络以外所有流量的互联和转发,所有流量在进入用户本地网络前和离开用户本地网络后,都要经过运营商网络的转发,简单地讲,运营商可以看见所有进出网络的流量,因此在大流量攻击检测和防御方面具有天然的先发优势,结合运营商的其它网络安全专业服务(态势感知服务、威胁情报服务等),能够起到更好的预警、检测与防御效果。
现代化DDoS攻击手段不断翻新,一般要综合采用不同的技术和服务来进行DDos防护。
