双11将至,流量剧增的你如何防御DDoS攻击?

一年一度的盛大典礼即将来临,广大朋友们,你们的网站准备好了么?没有那么玄乎,其实就是一个剁手节而已,11.11这个节日好像流传了也不是很多年,某宝当年可谓是慧眼如炬,一下子就把“双十一”给注册了,被人都只能打擦边球了;而某东也不甘示弱,好像也注册了“11.11”?对于这些电商巨头的巨额投资,小聪心中不由颤一颤:他们开心地建立了双11这个电商盛典,但是对于各位网络安保人员来说,那是要抹多少伤心泪呀!

平时小聪给大家灌注了那么多信息,想想也知道高流量同样意味着高风险,网络安保人员可都要绷紧神经了,因为这个时候,特别是电商行业的朋友们,绝对不希望网站出什么错乱;如果万一不小心不幸地遭遇了DDoS攻击,悲催的你也只能在角落里种蘑菇了,而此时相信你的同行只会表面抹泪表示默哀,心里的小人儿却叉腰仰头哈哈哈了!所以今天纳讯网络小聪根据技术大大多年的安全防护经验,就给大家分享一下DDoS攻击应急防御的必备技能,为大家应对双11助上一臂之力!

其实今天给大家分享的内容就是一句话:立体防御,层层过滤!这八个字包含的内容总的来说其实就是三层清洗方案来防御DDoS攻击,本地清洗、运营商清洗/临时扩容带宽、云清洗。

平时小聪也说的不少,DDoS攻击最大的特点就是流量大,但是也有一些其实流量不太大的攻击也一样达到攻击效果;所以就有了各种检测防御。通常来说,本地抗DDoS攻击的设备某种程度上完全可以实现DDoS攻击的清洗,正所谓求人不如求己嘛;只要攻击流量没把带宽占满,其实本地清洗也足够了。但是如果收到的攻击流量已经超过了链路带宽的时候,本地已经无法解决了,所以就需要启动运营商的协助清洗了;可是万一这条受攻击的链路不受保护咋办呢?临时扩容带宽是一个好plan。另外就是在运营商在清洗流量的同时,自己也可以启用云清洗的服务。

其实安保人员在日常的维护过程中,相信遇到过不少DDoS攻击是混合攻击的,就好比说以大流量反射做掩护,暗地里混入一些CC和连接耗尽或者慢速攻击;那么这时就很有可能需要运营商来针对性地去清洗了,需要先把大部分的流量清洗掉,把链路带宽清理出来,然后剩下的就可以交给本地来进一步清洗剩下的攻击流量了。

小聪这样说好像有点简单似得,但是网络维护的朋友们就知道其实做起来不是那么简单的,根据技术朋友们以往的经验,历经多次重大活动的磨难,小聪对有可能出现的各种DDoS攻击场景进行分类,这样大家就针对不同的场景针对性地制定快速有效的防御手段了!对于典型DDoS攻击根据攻击特征来进行分类转换为攻击场景我们可以大致分成这几种:

1、流量型(直接):SYN\ACK\ICMP\UDP\Connection FLOOD等DDoS告警;

2、流量型(反射):NTP\DNS\SSDP\ICMP FLOOD等DDoS告警;

3、CC:流量变化可能不明显,业务访问缓慢,超时严重,大量访问请求指向同一个或少数几个页面;

4、HTTP慢速:流量变化可能不明显,业务访问缓慢,超时严重,大量不完整的HTTP GET请求,出现有规律大小(通常很小)的HTTP POST请求的报文;

5、URL反射:流量变化明显,业务访问缓慢,超时严重,大量请求的Referer字段相同,表明均来自同一跳转页面;

6、各种DoS效果漏洞利用:入侵检测防御设备可能出现告警,DDoS攻击检测设备告警不明显。

对于这些不同的场景我们需要作出的应对策略也要有所不同,而根据上面说的六种情况,我们也梳理出一些攻击场景部署防御手段来对号入座:

第一,针对流量型(直接)。对于流量未超过链路带宽直接本地清洗就可以了;但是如果流量超过链路带宽,那么这个时候我们就要通知运营商清洗或者临时扩容,同时也可以启用云清洗,最后当然也需要本地清洗一下啦!而且针对SYN、ACK、UDP、ICMP等类型的flood攻击,一般情况下本地清洗设备的防御算法都可以轻松应对,比如说首包丢弃、IP溯源等;但是在某些特殊情况下,可以在这个基础上增加一些限速,这样至少可以保证在遭受攻击的时候保持业务基本的可用性。当然啦,如果通过排查发现发生攻击源IP具有地域特征,例如大量来自国外的攻击,就可以直接根据地域进行限制。

第二,针对流量型(反射)。同样分两种情况,对于流量未超过链路带宽的一样本地清洗就可以解决;对于流量超过链路带宽就通知运营商清洗或者临时扩容,同时启用云清洗,最后进行本地清洗。这个针对NTP、DNS、SSDP等类型的反射攻击,一般情况下本地的清洗设备都可以有效的进行缓解了,比如说对UDP碎片包的丢弃,以及限速等;而在某些特殊情况下,由于反射攻击的特征大多呈现为固定源端口+固定目的IP地址的流量占了整个链路带宽的90%以上,这样的话我们就可以针对性地去进行更加彻底的丢弃规则。

第三,针对CC攻击,一般来说我们都会先进行本地清洗;如果清洗过后不是效果不太好的话,就可以启用云清洗了。有些时候面临着十分紧急的情况而且清洗效果也很不明显的时候,就可以采用临时使用静态页面进行替换。

第四,针对HTTP慢速,同样也是先进行本地清洗;本地清洗效果不太好就启用云清洗。对于HTTP body慢速攻击,建议在受到攻击的过程中分析出攻击工具的特征后,进一步地针对特征在本地防御设备进行配置。

第五,针对URL(反射),同时进行本地清洗和云清洗;并且要在攻击过程中找出反射源,这样就可以在本地防御设备中进行高级配置了。

第六,针对各种DoS效果漏洞的利用,这个某种程度上需要网络安保人员平时的监控和日常维护工作要做到位了:监控入侵检测或防御设备的告警信息、做好系统漏洞修复。而且对于此类攻击,从严格意义来说算不上DDoS攻击,某种程度上只算是达到DoS效果的攻击,仅做补充场景,但是也不能忽视哦!

对于每一位网络安保人员来说,日常的积累可能会有更多的解释或者分类,也或者还有自己独特的防御方法,纳讯网络小聪今天给大家分享的这六种场景也仅仅是冰山一角罢了,可是也希望能对大家有一定的帮助,可以协助大家轻松面对即将到来的大流量活动----双11!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20191106A0EAOV00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券