可信安全网络 —— 安全左移之DDoS对抗

文｜宙斯盾DDoS防护团队

Rains

DDoS的开始

互联网对人类文明的进步影响，不亚于蒸汽机发明对人类文明的影响。

当人们享受着网络技术进步给生活带来的便利时，也经历了由于底层协议在设计之初对安全性考虑的缺失，导致的今天互联网面临日益复杂和挑战性的安全问题。

网络安全问题的6个基础领域，基础网络安全、终端安全、数据安全、应用安全、身份管理以及物理安全衍生出许多细分领域，基础网络安全里的DDoS攻击导致的业务可用性，其危害性异常严重和突出。

芯片技术和网络技术进步让发送大流量攻击易如反掌。各种浏览器内核能够执行js，可以非常容易制作攻击工具。业务环境的变化包括Web业务、云原生的API微服务，容器安全等让DDoS防护复杂度指数级增大。 

宙斯盾团队跟对抗DDoS，可以说是从TCP的三次握手DoS对抗开始——在那时还没有分布式概念，如果在服务器发现了很多syn_rcv连接状态，很不幸这意味着服务器被拒绝服务（Denial of Service）攻击了。

DoS攻击目的不是为了窃取数据，而是影响业务可用性，一种非常新鲜的攻击方式。此时能够想到SYN Cookie对抗算法的机构或组织，理所当然成为了业界标杆，代表对抗技术最先进生产力。 

SYN Cookie利用TCP协议栈三次握手来识别正常主机和伪造源IP，一种无状态的验证方式，既节省了大量内存空间，又是一种非常高效验证方法。宙斯盾跟SYN Flood对抗仅仅是DoS对抗的开始，CC 、UDP、DNS、ICMP等flood接踵而至，演变为分布式DoS（DDoS），攻击流量从最初的几十M、几百M发展到几百G甚至上T，自此DDoS对抗掀开了新的篇章。

对抗技术的演变

1. 以信任为基础的防御技术

当DDoS攻击手法发生变化时，对抗技术也在发生演变，但始终围绕着信任展开。SYN Cookie DDoS算法通过传输层协议验证真实主机，CC防护通