中科院之声|DDoS攻防“修炼”手册丨大东话安全( 二 )


小白:正面刚啊!
大东:广义上的CC攻击还包括HTTPS攻击、慢速攻击、连接耗尽、空连接攻击等 , 但它们有一个共同点 , 就是利用真实源发起攻击 , 攻击者利用真实源可跟随协议栈行为的特点 , 使得防御难度加大 。
小白:啊 , 那可怎么办?
大东:别担心 , 知名协议(如HTTP、DNS)还有一个好处 , 就是安全人员可以通过研究公开的RFC文档去了解协议的每一个细节 , 而DDoS攻击和防御的平衡点往往就在毫厘之间 。
小白:天下难事 , 必做于易;天下大事 , 必做于细 。
第三阶段 , 针对私有协议的DDoS真实源攻击
大东:对于DDoS防护设备 , 任何无法解码的流量都可以认为是私有协议流量 , 极难防御 。 针对知名协议 , 安全人员还可以通过查看分析RFC寻找蛛丝马迹 , 但当面对私有协议流量的时候 , 大家两眼一抹黑 , 除了限速不知道怎么办了 , 就出现了攻守不平衡的局面 。
小白:那该怎么应对呢?
大东:我们的安全人员发明了一系列算法 , 并针对攻击者的思路和手法灵活应对 。
小白:太棒了 , 这样可真是治标又治本呀!
第四阶段 , 超大反射攻击出现导致攻守资源不平衡
大东:2014年 , 一起峰值达到400Gbps的NTP反射攻击震惊全球网络 , 它使得原本小众的DDoS攻击进入平常人们的视野 , 超大反射攻击的出现 , 从根本上改变了DDoS对抗格局 。
小白:这事我也听说过 , 还有2016年9月19日 , OVH声称遭受了一起来自145607个网络视频监控设备发起的峰值最高800Gbps的DDoS攻击 。 紧接着9月20日 , KrebsonSecurity遭受峰值达620Gbps的DDoS攻击 。
中科院之声|DDoS攻防“修炼”手册丨大东话安全
文章图片
(图片来源:2017绿盟科技DDoS威胁报告——反射攻击流量趋势图)
大东:是的 , 业内网络安全人员认为这几起攻击均来源于名叫Mirai的僵尸网络 。 据统计 , 当时全球感染Mirai的物联网设备数量累计超过200万 , 遍布全球90多个国家和地区 。 推算一下的话 , 光这一僵尸网络就具备发动峰值超过1.5Tbps的攻击能力 。
小白:这也太可怕了 。
大东:是的 , 当攻击者可以较低的成本利用网上资源 , 将攻击规模提升到百G甚至上T的级别 , 这给物联网等设备带来安全问题甚至给全球的网络安全防护都带来巨大挑战 。
三、DDoS防御路径
小白:东哥 , 我刚才上网随便搜索DDoS攻击服务 , 就出现了一大片搜索结果 。
大东:是啊 , 现在DDoS黑产也越来越专业化 , 成立网站兜售DDoS攻击服务 , 有的可能有专业的团队做开发 , 随时更新用户的DDoS需求 , 从植入广告收益、商业竞争敲诈勒索(游戏、电商行业等) 。
小白:东哥 , 快教教我们该怎么防御DDoS攻击吧 。
大东:第一 , 要从我们日常的DDoS攻击防御方法开始说起 , 这种自主防御的方法对个人和企业来说成本最低 , 也是防御必不可少的环节 。 主要可通过定期扫描漏洞及时打上补丁;过滤不必要的服务和端口;检查访客来等方法进行防御 。
小白:那如果自主防御不能达到很好的效果呢?
大东:第二 , 可采用高防服务器来保证服务器系统的安全 。 此外 , 还可采用高防IP隐藏服务器的真实IP地址;或者采用高防CDN通过内容分离数据流量进行防御 。
小白:防御DDoS攻击的方法除了这四种还有其他的吗?
大东:还有最后一种就是配置Web应用程序防火墙 。
小白:感谢东哥倾囊相送 , 我要把这些知识分享给我的朋友们啦 。
参考资料:
1.绿盟科技“黑洞”ADS:二十年风雨兼程,十八载筑梦前行
2.DDoS恶意软件发展史
3.墨者带你了解二十多年来DDoS攻击的发展史
https://baijiahao.baidu.com/s?id=1608937910114443342&wfr=spider&for=pc


推荐阅读