DDoS预防简史

分布式拒绝服务（DDoS）使用大量有效请求来消耗网络资源，并使服务无响应并且对合法用户不可用。目前，DDoS攻击是最有力的网络攻击防御之一。

DDoS已经在网络安全领域长期存在，并且是一种古老的攻击方法。DDoS预防也经历了不同的阶段。

内核优化

在早期，没有专业的流量清理服务可用于防范DDoS攻击。当时，互联网带宽也相对较小，大多数人使用56K调制解调器获得拨号上网。攻击者只能利用一小部分带宽。通常，防御者可以通过优化内核参数和iptables来防止DDoS攻击。

在此阶段，linux内置的功能可防御DDoS攻击。例如，对于SYN泛洪攻击，调整net.ipv4.tcp_max_syn_backlog参数，控制syn队列的上限以避免完全连接，并调整net.ipv4.tcp_tw_recycle和net.ipv4.tcp_fin_timeout以使TCP保留数量TIME-WAIT和FIN-WAIT-2中的连接。对于ICMP泛洪攻击，Iptables被调整为关闭或限制ping数据包的速率或过滤不符合RFC协议的格式错误的数据包。但是，这种保护方法只优化了一台服务器。随着资源攻击强度的增加，这种保护方法无法有效抵御DDoS攻击。

专业的Anti-DDoS硬件防火墙

专业的防DDoS硬件防火墙可以优化功耗，转发芯片，操作系统等。这些防火墙可以满足DDoS流​​量清洗的需求。通常，IDC服务提供商购买反DDoS硬件防火墙并在数据中心的入口处部署它们，以便为整个数据中心提供清理服务。这些清理服务的性能逐渐从最初的每台100 MB发展到1 Gbit / s，10 Gbit / s，20 Gbit / s，100 Gbit / s或更高。这些清理服务涵盖从第3层到第7层的各种攻击，例如SYN-FLOOD，UDP-FLOOD，ICMP-FLOOD，ACK-FLOOD，TCP连接泛洪，CC攻击，DNS-FLOOD和反射攻击。

但是，这种DDoS预防方法对于IDC服务提供商来说非常昂贵。每个数据中心的入口都需要擦洗设备，需要特殊的维护人员来维护设备和服务。此外，并非所有IDC都具有相同的擦洗和保护功能。一些小型数据中心的上行链路可能只有20 GB带宽，无法重复使用这些擦除设备。

云时代具有安全IP地址的高级Anti-DDoS系统

在云时代，服务部署在各种云或传统的IDC中。提供的DDoS清理服务没有一致的标准。在超大量DDoS攻击流量的情况下，托管服务的数据中心无法提供匹配的保护功能。为了保护服务免受影响，我们必须创建“黑洞”概念。采用黑洞机制后，当服务器的攻击流量大于IDC中的黑洞触发阈值时，IDC将阻止该服务器的Internet访问，以避免持续攻击并确保IDC的整体稳定性。

在这种情况下，具有安全IP地址的高级防DDoS系统通过为数据中心提供高带宽，将流量转换为这些IP地址，然后将清理后的流量转发到用户的源站，提供了一整套防DDoS解决方案。此保护方法支持重用数据中心资源，并允许数据中心更多地关注其预期角色。此外，这种保护方法通过以基于SaaS的方式提供DDoS清理服务来简化DDoS预防。

云时代具有安全IP地址的高级反DDoS系统可以满足高带宽的需求。它还允许用户隐藏其源站并灵活地更改清理服务提供商。

具有安全IP地址的高级Anti-DDoS系统的关键组件

带宽和网络

带宽和网络是实现DDoS保护的首要要求。为了有效防御DDoS攻击，我们需要做的第一件事就是建立一个高带宽的数据中心。目前，中国的主流数据中心是单线数据中心，只有一家网络提供商（中国电信，中国联通或中国移动）和多线BGP数据中心，这些中心拥有多个网络提供商。

多线与单线数据中心

特点：

• 带宽和成本：单线数据中心的成本适中，但需要相对较高的带宽（TB级别）才能防止DDoS攻击。多线BGP数据中心的初始成本可能更高，但它只需要相对较低的带宽来防止DDoS攻击。
• 访问质量：单线数据具有平均访问质量，因为它受运营商之间的跨网络性能影响。多线路提供最佳的BGP网络。
• 业务复杂性：用户需要多个IP地址来实现多线路接入 - 例如，分别是中国电信，中国联通和中国移动IP，导致业务复杂性高。实现多线连接只需要一个IP地址，业务复杂性相对较低。
• 灾难恢复：单线灾难恢复不充分，效率低下。如果数据中心遇到网络故障，则灾难恢复仅支持在业务层中进行切换。BGP具有冗余备份和环路消除功能。当IDC供应商具有多个BGP互连线路时，供应商可以以备份模式部署路由。如果一条线路出现故障，路由将自动切换到另一条线路。

另一个方面是最大带宽。目前，300 Gbit / s只是一种基本的保护功能。保护级别高达一个Tbit / s或无限保护解决方案成为越来越多用户的选择。

多线路BGP数据中心的TB级保护能力也成为未来的发展目标。阿里云致力于为客户提供卓越的访问质量和保护能力的Anti-DDoS Pro。

大型交通清洗集群

这是另一项关键技术。DDoS清理的核心部分是拦截攻击流量。以下是一般攻击类型和对策：

攻击预防

当有足够的带宽时，我们需要考虑如何清除DDoS攻击流量。通常，专业的DDoS擦洗设备采用以下典型的保护和防范方法：丢弃畸形报文和特定协议，验证源反射攻击，统计速率限制行为识别。攻击通常包括SYN-FLOOD，UDP-FLOOD，ICMP-FLOOD，ACK-FLOOD，TCP连接泛洪，CC攻击，DNS-FLOOD和反射攻击。

• 丢弃格式错误的数据包和特定协议非常简单。指定的方法可用于防止反射攻击和不遵循RFC协议的消息。
• 源反射验证是防御SYN泛洪攻击的对策。通常，使用反向验证。擦除设备通过在TCP三次握手中回答SYN-ACK消息期间使用特殊算法生成的序列号来代表服务器验证访问源的真实性。该算法考虑了许多因素，例如双方的IP地址和端口，并验证ACK消息。如果访问是真实且合法的，则允许连接流量。同样，为了抵御复杂的CC攻击，可以使用图片验证码来验证看似潜在的攻击者是否是真实合法的客户。
• 统计速率限制和行为识别基于黑名单，白名单，用户访问率和行为来启用速率控制。

集群架构

从目前的DDoS预防趋势来看，DDoS预防解决方案需要弹性扩展以更好地抵御攻击。在这里我们需要提到100 GB接口的流行度。通常，用于流量负载平衡的散列基于五元组的特征。如果针对攻击流量的五元组的哈希值不均匀，则更有可能发生拥塞。根本不会将流量发送到清理引擎。这也是大型集群清洁系统的重要组成部分。

预防性防御计划

规划防御DDoS攻击的对策也非常重要。高效的规划需要多年的DDoS预防经验。在新攻击和紧急事件的情况下，快速分析和决策在解决问题方面发挥着关键作用。

负载平衡设备和安全组件

负载平衡是高级代理保护的关键技术。负载平衡包括第四层和第七层。

第四层负载平衡为每个客户的业务提供独有的IP地址。第四层服务器负载平衡本身需要高性能和高可用性转发功能以及安全保护功能，以抵御连接攻击。

第七层负载平衡目标是网站服务的代理保护。支持HTTP / HTTPS和防御CC攻击的功能已集成到第七层负载均衡系统中。

• 专用IP地址：专用IP地址的一个优点是，如果一个IP地址受到DDoS攻击，其他服务将不会因资源隔离而受到影响。
• 高可用性和高可扩展性：您可以根据应用程序负载扩展服务，而不会中断服务连续性。您可以根据需要增加或减少后端服务器的数量，以扩展应用程序的服务功能。
• 安全功能：您可以查看有关传入和传出流量的信息，并在域，会话或应用程序级别实施精确的DDoS保护。

为了实现最终的DDoS保护，有必要将第四层和第七层的深入安全能力开发与大流量清理集群相结合。

实时数据分析系统

流量分析

首先，让我们看一下数据源。目前有许多数据源机制可用。一种众所周知的NetFlow机制，用于样本分析和攻击检测。一对一流量分割也可用于获取统计和检测的所有流量。显然，后一种方法需要更多的资源和更有效的数据分析系统。需要更多开发和技术支持的系统通常可以提高分析效率。

应用识别

获取原始消息和数据后，我们需要区分应用程序。可以在IP级别，IP +端口级别，域名级别或其他级别进行应用程序区分。不同的服务需要不同的预防方法 我们需要根据特定服务的特征定制专门的预防计划。

攻击分析

当前的DDoS攻击分析不再依赖于基于统计的分析算法。针对攻击分析，引入了行为识别和机器学习的理论和实践。这些算法可以帮助我们更好地抵御DDoS攻击。我们还应该考虑如何在用户的攻击保护工作中有效地应用这些算法。

结论

前面的内容反映了DDoS攻击保护的木桶理论。攻击预防的每个方面都将影响整体保护，有效性和效率。具有安全IP地址的未来高级反DDoS系统应具有弹性带宽，高冗余，高可用性，高访问质量和简单的业务集成。同时，基于OPENAPI的DDoS保护与用户自动维护系统的结合可以为业务带来更高的安全性并促进业务增长。