DDoS攻击防御方案

DDoS攻击防御方案

近期DDoS攻击事件较多(2014年DDoS攻击事件分析),大家都在思考一个问题,在面临DDoS攻击的时候,如何防御ddos攻击?绿盟科技安全+技术刊物特别邀请到绿盟科技在运营商方面的DDoS专家,给大家讲讲DDoS攻击防御方案。

DDoS攻击威胁现状

对于DDoS攻击,有多种分类方式,例如流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等)、应用层的DDoS攻击(如Http Get Flood、连接耗尽、CC等)、慢速DDoS攻击以及基于漏洞的DDoS攻击。其中,最难应对的是分布式放大型DDoS攻击,对于此类攻击,从被攻击者的角度看,所有数据包都是正常的,但数量是海量的,一般可以达到300G—2T,且随着宽带网络时代的来临,发生的几率越来越高。

对于企业用户的服务器,其通常部署在电信运营商的IDC中心,并租用电信运营商的100/1000M、10G链路接入互联网。类似的,对于电信运营商的自有系统,一般也是采用100/1000Mbps链路接入互联网的。总之,相对于流量超过300G的DDoS攻击来说,用户网络接入带宽是非常小的。

更多的DDoS攻击态势,请参考 2014H1 DDoS报告:政府网站依然是最主要的攻击对象

现有异常流量清洗方案及其不足

传统方案不足以支持40GDDoS攻击流量

DDoS攻击的对象是客户的业务服务器,这些业务服务器通常位于运营商的IDC中心,或者企业自建网络中。传统的异常流量清洗设备是近业务主机部署的,由于建设主体不同,通常由异常流量监测设备、异常流量清洗设备组成,那么方案不足:

1、 异常流量清洗设备的清洗能力一般在20G或者40G(采用异常流量清洗设备集群方式实现)以下,对于高出清洗能力的DDoS攻击,仍将使服务中断或服务水平下降;

2、 即使攻击流量在20G以下,由于攻击流量占用了大量带宽,仍将使服务水平下降,用户体验降低;

3、 无法防御来自内部(从下至上流量,在异常流量清洗设备防护范围之外)的DDoS攻击。


一味的追求高性能方案,又导致服务能力下降

对于传统的异常流量清洗方案,其最大的短板在设备的清洗能力不足,于是最先想到的是提高攻击流量清洗能力。又由于业务服务器的网络接入链路带宽及接入路由器处理能力有限,所以异常流量清洗系统的部署位置需要往上移动,通常在省干出口路由器上部署流量清洗设备(当然,也可以将异常流量清洗设备部署在城域网路由器上,但这种方案在同等防护能力的情况下,将使用更多的设备,投资更高)。方案不足:

1、 无法处理200G之上流量的DDoS攻击;

2、 无法防护来自城域网(自下向上,在异常流量清洗设备防护范围之外)的DDoS攻击;

3、 在电信运营商的骨干网上具有大量的无用的DDoS攻击流量,浪费了宝贵的骨干网带宽和设备处理能力,造成网络服务水平下降;

4、 防护设备价格高,方案性价比低。

大流量DDoS攻击清洗方案

从DDoS攻击的趋势看,未来DDoS攻击的流量约来越大,如果仅仅采用近业务主机的异常流量清洗方案,即使防护设备能力再高,也无法赶上DDoS攻击流量的增长,无法满足防护要求。而采用近源清洗的方式,将异常流量清洗设备分散部署在靠近攻击源的位置,每个清洗设备只清洗一部分,综合起来,就具有了巨量的异常流量清洗能力,且其防护能力具有非常好的弹性,不仅可以满足现在的需要,还可以满足抵御更高的大流量DDoS攻击的需要。

实现异常流量清洗需要检测和清洗能力的结合,如果只采用近源流量清洗的方式,由于攻击流量小,告警阀值低,容易产生误判和漏判的问题。因此我们的总体设计思路如下:

  • 采用检测和清洗能力分离的方式。从提高检测灵敏度和经济性的角度考虑,尽可能将检测设备靠近业务主机部署,或者在核心网进行检测。而对于清洗设备来说,尽量多的靠近攻击源进行部署。
  • 近源和近业务主机清洗方式相结合。通过近源部署清洗设备的方式,可以获得非常大的异常流量清洗能力和弹性,同时也可以降低成本。但是,如果每个异常流量清洗点漏洗一部分攻击流量,比如说开启流量清洗动作阀值下的流量,这些流量汇聚到业务主机,也就形成了DDoS攻击,因此还需要近业务主机部署清洗设备,以处理这种情况。
  • 双向异常流量清洗。对于某些网络接入点或网络区域的业务主机来说,其可能会受到外部的DDoS攻击,同时其也会向外发送DDoS攻击数据,且这两种情况可能同时发生,因此需要进行双向异常流量清洗。
  • 统一管理和协同。对于一次具体的大流量DDoS攻击来说,一旦检测设备检测到攻击,就需要按需调动相应的清洗设备按照统一的策略进行异常流量清洗,因此需要对所有清洗设备进行统一管理,做好动作协同。

另外,为了减少误判、漏判的发生,需要将异常流量检测设备的检测数据汇聚起来,进行筛选、比对和分析,提高检测准确率,减少漏报率,并能够根据攻击来源,明确需要调动的清洗设备。

关键技术实现分析

本方案主要包括攻击流量检测部分、异常流量清洗部分和管理平台三部分。对于攻击流量检测部分,相比于前面的方案区别不大,这里重点说明其他两部分。

  • 管理平台部分。管理平台收到流量检测数据后,需要进行汇总、筛选和分析,一旦判断出异常流量攻击,就可以启动异常流量清洗策略生成和调度动作,此时需要明确1)攻击来源区域,以确定需要调动的清洗设备;对此,可以采用相应的攻击溯源系统实现,或者基于IP地址库通过分析攻击数据源IP地址实现;2)具体设备的清洗策略。从实现角度讲,主要分为近源清洗策略和近业务主机清洗策略,需要根据具体清洗设备的部署位置分配不同的清洗策略。
  • 异常流量清洗部分。不同于前面的异常流量清洗设备,本方案中的的清洗设备需要具备双向流量清洗能力。从实现原理上讲,一旦流量清洗设备接收到相应的清洗请求,就可以根据策略进行流量牵引,经过清洗后,近源清洗设备可以把干净的流量向上(向核心网)进行回注,而近业务主机清洗设备可以把干净的流量向下(向业务主机)进行回注。


部署方案

对于电信运营商来说,其DDoS攻击来源主要包括:

  • 本地城域网家庭终端
  • 本地移动互联网智能手机终端
  • IDC中心的业务主机
  • 本地网内的自有业务主机
  • 国内互联网络入口
  • 国际互联网络入口

对于异常流量检测设备,可以部署在可以各省干出口路由器、IDC中心出口路由器、本地网内自有业务主机出口路由器的位置,实现对全网攻击流量的检测。

对于异常流量清洗设备,可以旁挂在靠近攻击源的路由器上,比如IDC出口路由器、城域网出口路由器、分组核心网出口路由器、自有业务网络出口路由器、国内或国际互联接口路由器等等。具体部署位置可以根据网络的不同情况进行调整。

另外,在网内部署一台安全管理平台,实现和所有攻击流量检测设备、攻击流量清洗设备互连即可,部署位置不限。

攻击防护过程说明

为了简化,我们以北京、上海、广州三地IDC中心进行协同防护为例进行说明。系统防护方案简要示意图如下。

图3 系统防护简要示意图

现在,假设上海IDC中心的服务器受到了大流量DDoS攻击,其防护过程如下。

1、 攻击检测   当发生DDoS攻击时,在核心网内部、IDC中心出口部署的攻击流量监测设备将实时采集的Netflow数据送到安全管理平台,安全管理平台通过汇聚分析,判断发生了DDoS攻击后,将根据攻击源IP地址信息,明确攻击来源的省份和接入点,这里假设包括来自北京、广州的IDC中心。

明确了攻击来源省份和接入点的信息后,安全管理平台将向北京、广州IDC中心的流量清洗设备下发近源流量清洗策略,同时向上海IDC中心的流量清洗设备下发近业务主机流量清洗策略。

2、 攻击防护   北京、广州IDC中心部署的流量清洗设备收到启动清洗策略的命令后,将基于被攻击的上海IDC中心业务主机IP地址进行流量牵引,将所有目的地址为受攻击IP的流量牵引到流量清洗设备上,进行清洗后,回注到IDC中心出口路由器上,并向上进行转发。

当包含剩余部分攻击流量的数据包到达上海IDC时,此处的异常流量清洗设备将根据收到的流量清洗策略,将所有目的地址为攻击IP的流量牵引到流量清洗设备上,进行清洗后,把干净的流量回注到IDC中心的接入路由器上,向下转发给业务主机,从而实现对攻击流量的彻底清洗。

绿盟科技DDoS攻击防御方案

采用本文讨论的大流量DDoS攻击防护方案,将使电信运营商获得弹性的、大流量DDoS攻击防护的能力,且可以充分利用已采购的安全防护设备,节省投资。另外,还大幅减少了骨干网上的异常流量,降低无谓的带宽损耗。

随着大流量DDoS攻击的流行,IDC中心租户自建的DDoS防护设备已不能满足防护要求,电信运营商可以依赖这一弹性的、大流量DDoS攻击防护能力为IDC中心租户提供抗DDoS攻击防护增值服务,从而获得额外的经济收益。

本文节选自绿盟科技安全+技术刊物第27期《大流量DDoS攻击防护方案探讨》

DDoS攻击防御方案的相关文章请参看

ddos流量清洗方案

2014年DDoS攻击事件分析

DDoS攻击态势

DDoS攻击工具HOIC分析

时间: 2024-10-11 08:21:52

DDoS攻击防御方案的相关文章

记一次DDOS攻击防御实录

前言 ????笔者所在单位是一家小型创业公司,目前产品正在成长阶段,日活跃用户只有区区几万人次,并发只有日均 85/QPS,自建机房,带宽 100MB.在这样的背景下,完全没想过一个小产品会招来黑客的光顾,而且一来就是好几天. 起因 ????事情的起因来源于某个惬意的下午,从市场接收到客户反馈,部分地区客户无法打开产品页面,由于是周末且之前也发生过机房网络故障,运维并未引起重视,以为是网络问题,放置不管.但是到傍晚19点左右,情况突然变得很严重,90%的客户都在反馈无法打开产品页面: 这一下子就

从分析攻击方式来谈如何防御DDoS攻击

DDoS攻击的定义: DDoS攻击全称--分布式拒绝服务攻击,是网络攻击中非常常见的攻击方式.在进行攻击的时候,这种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包,使攻击目标出现瘫痪的情况,不能提供正常的服务.   DDoS攻击类型: ICMP Flood:通过对目标系统发送海量数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击. UDP Flood:攻击者通常发送大量伪造源IP地址的小UDP包,100k bps的就能 将线路上的骨干设备

DDoS攻击、CC攻击的攻击方式和防御方法

DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击.也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的.分布式拒绝服务攻击一旦被实施,攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机,从而把合法用户的网络包淹没

DDOS、CC、sql注入,跨站攻击防御方法

web安全常见攻击解读--DDos.cc.sql注入.xss.CSRF 一,DDos https://www.cnblogs.com/sochishun/p/7081739.html#4111858 http://nic.swu.edu.cn/s/nic/thyt/20180604/2555404.html 1.1 DDos介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”.分布式拒绝服务攻击发起后,攻击网络包就会从很多DOS攻击源(俗称

DDoS攻击现状与防御机制浅析

写在前面的话 对于企业和组织而言,分布式拒绝服务攻击(DDoS)不仅是非常痛苦的,而且还会给公司打来巨大的损失.那么我们应该如何防御这种攻击呢?在此之前,我们可以通过带外系统或流量清洗中心来抵御DDoS攻击.但是现在我们又多了一种防御方法,即内联缓解(inline mitigation),这也是一种可行的自动化解决方案. DDoS攻击概述 实际上,DDoS攻击完全可以被当作“大规模网络攻击”的代名词.而且在某些特殊的攻击场景中,攻击流量可以达到每秒钟好几百Gbits,但是这种情况相对来说比较罕见

实战分享:如何成功防护1.2T国内已知最大流量DDoS攻击

作者:腾讯云宙斯盾安全团队&腾讯安全平台部 引言: DDoS攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长.3月份国内的最大规模DDoS攻击纪录还停留在数百G规模,4月,这个数据已经突破T级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对DDoS攻击卷起的血雨腥风.4月8日,腾讯云宙斯盾成功防御了1.2Tbps的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析. 国内已知最大攻击流量来袭 4月8日,清明节后

[推荐]DDOS攻击与防范知识介绍

DDOS攻防体系建设v0.2(淘宝-林晓曦)     http://wenku.baidu.com/view/39549a11a8114431b90dd866.html 阿里云安全白皮书V1.2(2014年1月)         http://wenku.baidu.com/view/bbec02673968011ca2009137.html DDoS攻击防御新思考        http://wenku.baidu.com/view/417a971e650e52ea5518983f.html

如何找个海外高防服务器,防御DDOS攻击呢?

如今大数据时代,DDOS攻击让很多站长头疼,找不到一台好的高防服务器也成了站长心目中的心病.那么,哪里有好的高防服务器呢?哪里有能防御DDOS的海外高防服务器呢?什么是DDOs攻击呢? DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性.如果说 以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前ddos众多伪造出来的地址则显得没有办法. (1)定期扫描 要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进

DDoS攻击给游戏网站带来灾难性的破坏,如何防御?

众所周知,游戏是个暴利的行业,稍有点名气就能赚个盆满钵满,但它的用户基数大且分布广泛,遍布全国各地,加大了线上运维难度,并成为影响游戏增长的固有顽疾,而这些"先天缺陷"也成为其致命弱点:一旦遭受ddos冲击,损失极其惨重. 调查发现2016年以来国内多家游戏公司遭遇到了ddos攻击,平局峰值在300G左右,甚至最高达到1T,如此大规模的攻击,使有些游戏公司日亏损数百万,甚至也有因遭遇ddos攻击而一蹶不振走向倒闭.对此,一些有实力游戏公司也采取相应手段并支付近千万的昂贵费用进行防御,而