基于DDOS高防IP系統預防DDOS攻擊的原理

楊玉蘭

摘要：DDoS攻擊的預防技術歷經內核優化、專業抗DDoS硬件防火墻、云時代的DDoS高N-IP系統三個階段。DDoS高防IP系統主要有良好的帶寬&網絡、大流量清洗集群體系、負載均衡設備&安全組件以及數據實時分析系統等四大關鍵組成，但該系統還存在木桶短板缺陷，任何一個關鍵組成的防御效果都會影響到整體的防御效果。未來的DDoS高防IP系統應該具備彈性帶寬、高冗余、高可用、訪問質量優、業務接入簡單的特點。

關鍵詞：DDOS攻擊;高防IP;大流量清洗集群

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）32-0057-02

DDoS攻擊即Distributed Denial of Service（分布式拒絕服務）攻擊，是攻擊者通過遠程控制大量分散在不同地域的傀儡機定時或實時在同一時間向遠程受害者計算機發送大量貌似合法的申請，在短短的數秒內即可導致網站無法登陸、頁面打不開、游戲掉線或卡死以及網絡不通等網絡阻塞或資源耗盡從而導致服務器拒絕服務的攻擊行為。隨著我國經濟、政治地位的不斷提升，來自國際的DDoS攻擊越來越多，僅次于美國。而且現在許多專屬服務器、社交平臺以及黑市、“肉雞集群”和在線DDoS平臺等跨網調度流量越來越方便、流量購買價格越來越低廉，使得攻擊者能以更低的成本發起更大規模的攻擊。其國際化、超大規?；褪袌龌陌l展趨勢使之成為目前最強大、最難防御的網絡攻擊之一，嚴重威脅著網絡安全。

1預防DDoS攻擊的技術發展歷程

伴隨著互聯網技術的發展，預防DDoS攻擊的技術經歷了早期的內核優化、中期的專業抗DDoS攻擊硬件防火墻以及云時代的DDoS高防IP系統三個發展階段。

1.1內核優化階段

在互聯網發展早期，互聯網帶寬較小，用戶大多是用電話線加“貓”（modem）撥號上網，攻擊者可以使用的帶寬也就小。普通用戶一般是通過IPTABLES就能基本解決攻擊，有內核開發能力的可以通過優化內核參數、編寫內核防護模塊來提升防護能力。在這個階段，Linux本身就提供基本預防DDoS攻擊的功能?？梢酝ㄟ^調整net.ipv4.tep_max_syn_baeklog參數控制半連接隊列上限避免連接被打滿，調整net.ipv4.tep_tw_reeyele，net.ipv4.tep_fin_timeout控制tcp狀態保持在TIME-WAIT，FIN-WAIT-2的連接個數，從而預防SYN FLOOD攻擊;通過控制IPTABLES來關閉和限制ping報文的速率，也可以過濾掉不符合RFC協議規范的畸形報文，就可以預防ICMP FLOOD攻擊。內核優化技術優化的是單臺服務器。

1.2專業抗DDoS硬件防火墻

專業抗DDoS硬件防火墻對功耗、轉發芯片、操作系統等各個部分都進行了優化，部署在機房人口處為整個機房提供DDoS流量清洗服務。經歷了從單臺百兆逐步到1Gbps、10Gb-ps、20Gbps、100Gbps或者更高，清洗服務也基本涵蓋了3-7層的各種攻擊（SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等）。這種方式硬件成本高，還需有專業的運維人員。

1.3云時代的DDoS高防IP系統

云時代到來后，服務器逐漸部署在各種云上或者傳統的IDC機房里面，沒有統一的DDoS基礎清洗服務標準，“黑洞”閾值也不同，面對不同規模的超大流量DDoS攻擊時，不同的服務器就會啟動“黑洞”，屏蔽服務器的外網訪問，避免攻擊持續，影響整體機房的穩定性。

在這種情況下，DDoS高防IP系統應運而生。DDoS高防IP系統建立各種大帶寬的機房，為用戶提供有償服務，用戶只需要把域名解析到高防IP（Web業務把域名解析指向高防IP;非Web業務把業務IP替換成高防IP），并配置源站IP。配置完成后，所有公網流量都將經過高防IP機房，清洗過濾惡意攻擊流量，通過端口協議轉發正常流量到源站lP，從而確保源站lP穩定訪問。該系統可以滿足對大寬帶的剛性需求，用戶也隱藏了源站，還可以靈活更換清洗服務商。

2DDoS高防IP系統關鍵組成

DDoS高防IP系統有四大關鍵組成：良好的帶寬&網絡、大流量清洗集群體系、負載均衡設備&安全組件以及數據實時分析系統，如圖1所示。

2.1良好的帶寬&網絡

良好的帶寬&網絡是預防DDoS攻擊的必然要求。首先要擁有一個高帶寬的機房，目前國內主流機房主要為電信單線機房、聯通單線機房、移動單線機房和BGP多線機房，如圖2所示。它們性能上各有千秋：BGP機房訪問質量高，網絡最優選路，只需要一個IP地址，多線接入，業務復雜度低，BGP協議本身具有冗余、消除環路的特點，當服務商有多條互聯線路可以實現路由的相互備份時，一旦一條線路出現故障時路由就會自動切換到其他線路。BGP機房唯一的不足就是DDoS帶寬相對較小，成本昂貴。三大運營商單線機房則恰恰相反。

良好的帶寬&網絡的另外一個要求就是帶寬上限越高越好。目前國內的DDoS高防IP系統，300Gbps的防護能力都是人門級別的，1Tbps的防護能力乃至無限抗的解決方案越來越多的出現用戶的選擇中。

2.2大流量清洗集群體系

DDoS清洗的核心是攔截攻擊流量并清洗。擁有了良好的帶寬&網絡，專業DDoS清洗防護設備的主要防護方法包括：畸形包、特定協議丟棄;源反彈認證體系;統計限速&行為識別等。畸形包、特定協議丟棄法就是對于不符合RFC協議規范的報文、反射類攻擊用指定特征的方式進行防護。源反彈認證是針對synflood的防護方法，一般采用反向驗證，即清洗設備替服務端校驗訪問源的真實性，也就是在TCP第二次握手即回復synack報文時，用特殊算法生成序列號，并在ack報文時確認。如果是真實訪問者，放行流量。對于復雜的CC攻擊則反彈一個圖片驗證碼來校驗是否為真實客戶。統計限速&行為識別則會綜合各種黑白名單以及用戶訪問速率、行為，進行速率控制防護。

大流量清洗集群體系還必須有彈性擴容的能力，否則，一旦攻擊流量的五元組的hash不均勻，他們大概率會擁塞，攻擊流量就無法送到清洗設備引擎上去。

2.3負載均衡設備&安全組件

負載均衡技術包括4層負載均衡技術和7層負載均衡技術。

4層負載均衡技術，為每一個客戶業務提供一個獨享的IP，本身的轉發能力要高性能、高可用性，同時還要具備安全防護能力，能夠對抗連接型攻擊。獨享的IP使得一個業務IP被攻擊，不會影響其他的業務，資源隔離。高可用、可擴展就可根據應用負載進行彈性擴容，在流量波動情況下隨時增加或減少后端服務器的數量，擴展應用的服務能力，不中斷對外服務。具備in/out雙向流量信息，能提供精細化、域名級別、session級別等應用級別DDoS防護，安全防護能力大幅提升。

7層負載均衡技術，針對網站類業務的代理和防護，對I-ITFP/HTYPS協議的支持，各種CC攻擊的防護，都會集成在7層負載均衡的系統里面。

如果對4層和7層進行安全功能深度開發，上下游配合在大流量清洗集群體系配合下還能將防護進一步提升。

2.4數據實時分析系統

首先是數據源。數據源機制有很多種，常用NetFlow進行采樣分析攻擊檢測，也可用1：1分光分流方式獲取全部流量統計檢測。由于1：1分光的方式需要更高的資源和更高效的數據分析系統，需要研發能力和技術支撐，取得的效果也更佳。

其次是區分應用。拿到原始報文和數據后，應用的區分可以是IP級別，也可以是IP+端口級別或是域名級別。不同業務的防御方法是有差別的，需要做到根據業務特性來制定專業的防御方案。

最后是攻擊分析。目前DDoS攻擊分析引人了行為識別、機器學習的理論和實踐，這些算法既能幫助我們對攻擊進行更好的防護，還可以有效的實時應用到用戶的防御對抗中。

3結束語

據以上分析可以得出，DDoS高防IP系統還存在木桶短板缺陷，任何一個關鍵組成的防御效果都會影響到整體的防御效果。未來的DDoS高防IP系統應該具備彈性帶寬、高冗余、高可用、訪問質量優、業務接入簡單的特點。