DDoS 攻擊與防禦:從原理到實踐(上)
本文來自網易雲社區。
可怕的 DDoS
出於打擊報復、敲詐勒索、政治需要等各種原因,加上攻擊成本越來越低、效果特別明顯等趨勢,DDoS 攻擊已經演變成全球性的網路安全威脅。
危害
根據卡巴斯基 2016Q3 的調查報告,DDoS 攻擊造成 61% 的公司無法訪問其關鍵業務信息,38% 的公司無法訪問其關鍵業務,33% 的受害者因此有商業合同或者合同上的損失。
趨勢
總結來看,現在的 DDoS 攻擊具有以下趨勢:
1. 國際化
現在的 DDoS 攻擊越來越國際化,而我國已經成為僅次於美國的第二大 DDoS 攻擊受害國,而國內的 DDoS 攻擊源海外佔比也越來越高。
由於跨網調度流量越來越方便、流量購買價格越來越低廉,現在 DDoS 攻擊的流量規模越來越大。在 2014 年底,國內曾有雲服務提供商遭受過高達 450Gbps 的攻擊。
3. 市場化 市場化勢必帶來成本優勢,現在各種在線 DDoS 平台、肉雞交易渠道層出不窮,使得攻擊者可以以很低的成本發起規模化攻擊。按流量獲取方式進行的對比可參考下表:
DDoS 攻擊科普
DDoS 的攻擊原理,往簡單說,其實就是利用 tcp/udp 協議規律,通過佔用協議棧資源或者發起大流量擁塞,達到消耗目標機器性能或者網路的目的。下面我們先簡單回顧 TCP 「三次握手」 與 「四次揮手」 以及 UDP 通信流程。
TCP 三次握手與四次揮手
TCP 建立連接:三次握手 1.client: syn2.server: syn+ack3.client: ack TCP 斷開連接:四次揮手 1.client: fin
2.server: ack
3.server: fin4.client: ackUDP 通信流程
攻擊原理與攻擊危害
按照攻擊對象的不同,將對攻擊原理和攻擊危害的分析分成 3 類,分別是攻擊網路帶寬資源、系統以及應用。
攻擊網路帶寬資源
DDoS 防護科普
攻擊防護原理
從 tcp/udp 協議棧原理介紹 DDoS 防護原理:
不同層面的防護
按攻擊流量規模分類
較小流量
小於 1000Mbps,且在伺服器硬體與應用接受範圍之內,並不影響業務的: 利用 iptables 或者 DDoS 防護應用實現軟體層防護。大型流量
大於 1000Mbps,但在 DDoS 清洗設備性能範圍之內,且小於機房出口,可能影響相同機房的其他業務的: 利用 iptables 或者 DDoS 防護應用實現軟體層防護,或者在機房出口設備直接配置黑洞等防護策略,或者同時切換域名,將對外服務 IP 修改為高負載 Proxy 集群外網 IP 或者 CDN 高仿 IP 或者公有雲 DDoS 防護網關 IP,由其代理到 RealServer;或者直接接入 DDoS 清洗設備。 超大規模流量 在 DDoS 清洗設備性能範圍之外,但在機房出口性能之內,可能影響相同機房的其他業務,或者大於機房出口,已經影響相同機房的所有業務或大部分業務的:聯繫運營商檢查分組限流配置部署情況,並觀察業務恢復情況。
按攻擊流量協議分類
syn/fin/ack 等 tcp 協議包
設置預警閥值和響應閥值,前者開始報警,後者開始處理,根據流量大小和影響程度調整防護策略和防護手段,逐步升級。 udp/dns query 等 udp 協議包 對於大部分遊戲業務來說,都是 TCP 協議的,所以可以根據業務協議制定一份 tcp 協議白名單,如果遇到大量 udp 請求,可以不經產品確認或者延遲跟產品確認,直接在系統層面 /HPPS 或者清洗設備上丟棄 udp 包。 http flood/CC 等需要跟資料庫交互的攻擊 這種一般會導致資料庫或者 webserver 負載很高或者連接數過高,在限流或者清洗流量後可能需要重啟服務才能釋放連接數,因此更傾向在系統資源能夠支撐的情況下調大支持的連接數。相對來說,這種攻擊防護難度較大,對防護設備性能消耗很大。 其他 icmp 包可以直接丟棄,先在機房出口以下各個層面做丟棄或者限流策略。現在這種攻擊已經很少見,對業務破壞力有限。網易雲安全(易盾)提供DDoS高防服務,點擊可免費試用。
下篇:DDoS 攻擊與防禦:從原理到實踐(下)
原文:DDoS 攻擊與防禦:從原理到實踐(上)
了解網易雲 :
網易雲官網:https://www.163yun.com
網易雲社區:https://sq.163yun.com/blog網易雲新用戶大禮包:https://www.163yun.com/gift更多網易研發、產品、運營經驗分享請訪問網易雲社區。
推薦閱讀:
