在了解防御之前先簡單了解一下各類攻擊,因為DDoS是一類攻擊而并非一種攻擊���,并且DDoS的防御是一個可以做到相對自動化但做不到絕對自動化的過程�����,很多演進的攻擊方式自動化不一定能識別��,還是需要進一步的專家肉眼判斷����。
網(wǎng)絡層攻擊: Syn-flood
利用TCP建立連接時3次握手的“漏洞”����,通過原始套接字發(fā)送源地址虛假的SYN報文,使目標主機永遠無法完成3次握手��,占滿了系統(tǒng)的協(xié)議棧隊列,資源得不到釋放�,進而拒絕服務,是互聯(lián)網(wǎng)中最主要的DDOS攻擊形式之一���。網(wǎng)上有一些加固的方法�����,例如調(diào)整內(nèi)核參數(shù)的方法���,可以減少等待及重試,加速資源釋放����,在小流量syn-flood的情況下可以緩解,但流量稍大時完全不抵用�。防御syn-flood的常見方法有:syn proxy、syn cookies���、首包(第一次請求的syn包)丟棄等���。
ACK-flood
對于虛假的ACK包,目標設備會直接回復RST包丟棄連接,所以傷害值遠不如syn-flood��。DDOS的一種原始方式����。
UDP-flood
使用原始套接字偽造大量虛假源地址的UDP包,目前以DNS協(xié)議為主���。
ICMP-flood
Ping洪水,比較古老的方式�。
CC攻擊
ChallengeCollapsar的名字最早源于挑戰(zhàn)國內(nèi)知名安全廠商綠盟的抗DDOS設備-“黑洞”,通過botnet的傀儡主機或?qū)ふ夷涿矸⻊掌���,向目標發(fā)起大量真實的http請求����,最終消耗掉大量的并發(fā)資源��,拖慢整個網(wǎng)站甚至徹底拒絕服務����。
互聯(lián)網(wǎng)的架構追求擴展性本質(zhì)上是為了提高并發(fā)能力,各種SQL性能優(yōu)化措施:消除慢查詢�����、分表分庫、索引�、優(yōu)化數(shù)據(jù)結構、限制搜索頻率等本質(zhì)都是為了解決資源消耗���,而CC大有反其道而行之的意味�����,占滿服務器并發(fā)連接數(shù)����,盡可能使請求避開緩存而直接讀數(shù)據(jù)庫�����,讀數(shù)據(jù)庫要找最消耗資源的查詢����,最好無法利用索引,每個查詢都全表掃描���,這樣就能用最小的攻擊資源起到最大的拒絕服務效果���。
互聯(lián)網(wǎng)產(chǎn)品和服務依靠數(shù)據(jù)分析來驅(qū)動改進和持續(xù)運營�����,所以除了前端的APP��、中間件和數(shù)據(jù)庫這類OLTP系統(tǒng)���,后面還有OLAP,從日志收集��,存儲到數(shù)據(jù)處理和分析的大數(shù)據(jù)平臺���,當CC攻擊發(fā)生時,不僅OLTP的部分受到了影響����,實際上CC會產(chǎn)生大量日志,直接會對后面的OLAP產(chǎn)生影響��,影響包括兩個層面���,一個當日的數(shù)據(jù)統(tǒng)計完全是錯誤的���。第二個層面因CC期間訪問日志劇增也會加大后端數(shù)據(jù)處理的負擔���。CC是目前應用層攻擊的主要手段之一,在防御上有一些方法��,但不能完美解決這個問題���。
混合型攻擊
在實際大流量的攻擊中�,通常并不是以上述一種數(shù)據(jù)類型來攻擊�,往往是混雜了TCP和UDP流量,網(wǎng)絡層和應用層攻擊同時進行�。
反射型攻擊
真實TCP服務器發(fā)送TCP的SYN包,而這些收到SYN包的TCP server為了完成3次握手把SYN|ACK包“應答”給目標地址��,完成了一次“反射”攻擊��,攻擊者隱藏了自身�,但有個問題是攻擊者制造的流量和目標收到的攻擊流量是1:1,且SYN|ACK包到達目標后馬上被回以RST包���,整個攻擊的投資回報率不高����。
反射型攻擊的本質(zhì)是利用“質(zhì)詢-應答”式協(xié)議,將質(zhì)詢包的源地址通過原始套接字偽造設置為目標地址����,則應答的“回包”都被發(fā)送至目標,如果回包體積比較大或協(xié)議支持遞歸效果�,攻擊流量會被放大,成為一種高性價比的流量型攻擊�。
反射型攻擊利用的協(xié)議目前包括NTP、Chargen����、SSDP、DNS����、RPC portmap等等����。
脈沖型攻擊
很多攻擊持續(xù)的時間非常短,通常5分鐘以內(nèi)���,流量圖上表現(xiàn)為突刺狀的脈沖�����。
之所以這樣的攻擊流行是因為“打-打-停-�!钡男Ч詈茫瑒傆|發(fā)防御閾值����,防御機制開始生效攻擊就停了,周而復始���。蚊子不叮你���,卻在耳邊飛,剛開燈想打它就跑沒影了���,當你剛關燈它又來了���,你就沒法睡覺。
自動化的防御機制大部分都是依靠設置閾值來觸發(fā)���。盡管很多廠商宣稱自己的防御措施都是秒級響應�����,但實際上比較難�����。
多層防御架構
反向代理/Internet層
反向代理(CDN)并不是一種抗DDOS的產(chǎn)品���,但對于web類服務而言�,他卻正好有一定的抗DDOS能力�����,以大型電商的搶購為例�����,這個訪問量非常大�����,從很多指標上看不亞于DDOS的CC�����,而在平臺側實際上在CDN層面用驗證碼過濾了絕大多數(shù)請求���,最后到達數(shù)據(jù)庫的請求只占整體請求量的很小一部分���。
對http CC類型的DDOS,不會直接到源站�,CDN會先通過自身的帶寬硬抗,抗不了的或者穿透CDN的動態(tài)請求會到源站���,如果源站前端的抗DDOS能力或者源站前的帶寬比較有限�,就會被徹底DDOS��。
我們的策略是�,預先設置好網(wǎng)站的CNAME,將域名指向云清洗的DNS服務器�����,在一般情況下���,云清洗的DNS仍將穿透CDN的回源的請求指向源站�,在檢測到攻擊發(fā)生時��,域名指向自己的清洗集群��,然后再將清洗后的流量回源�����。
金融行業(yè)
“野蠻生長”是互聯(lián)網(wǎng)金融帶給大部分人的一種直觀感受,主要模式包括互聯(lián)網(wǎng)支付�、貴金屬交易,期貨交易����,知識產(chǎn)權交易,P2P�,網(wǎng)絡借貸、網(wǎng)絡小額貸款�、眾籌融資、金融機構創(chuàng)新型互聯(lián)網(wǎng)平臺等���。但無論哪種模式��,其業(yè)務的運行����、操作����、處理�、維護幾乎全部依賴互聯(lián)網(wǎng)����,以線上完成的形式展開相關業(yè)務�����,如果互聯(lián)網(wǎng)中斷�,其業(yè)務鏈將完全中斷,無法開展任何服務��。
安全問題
與此同時��,互聯(lián)網(wǎng)金融背后的黑色鏈條也隨之迅速攪動而起�。依托互聯(lián)網(wǎng)牟利的黑客們,自然也嗅到了這條迅速膨脹的資金鏈條所散發(fā)出的誘惑�����。
從事互聯(lián)網(wǎng)金融公司多數(shù)都是小微公司�����,其精力主要集中在業(yè)務發(fā)展與運營上�����,在安全方面的能力很弱。在職業(yè)黑客面前�����,其防護能力幾乎為零����,面對成千上萬的DDoS攻擊,其業(yè)務很容易非正常死亡�,極易造成客戶的恐慌。所以����,在互聯(lián)網(wǎng)金融遍地開花的同時,因黑客攻擊而宣布關門的網(wǎng)貸平臺也不絕于耳�����。
針對金融及游戲行業(yè)的攻擊趨勢
1���、大流量攻擊普遍性
2�、大流量攻擊呈現(xiàn)增長趨勢
3�、大流量攻擊走向云端
4�、大流量攻擊在游戲行業(yè)中加劇
5��、小流量快攻擊變身脈沖式攻擊
6�����、DDoS攻擊不再局限于終端
高防服務對金融行業(yè)防護優(yōu)勢
1�����、支持http及https協(xié)議防護
2�、服務器無需任何變動�,即可使用我們的高防服務
3、影藏源IP地址���,保護源服務器不被攻擊
4����、完善的SSL協(xié)議優(yōu)化解決方案
5���、無需提供證書給我們��,一樣可以做到SSL加密
6���、提供對四層以及七層轉發(fā)配置的技術支持
7���、提供實時攻擊流量圖
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
