文|宙斯盾DDoS防护团队
Rains
DDoS的开始
互联网对人类文明的进步影响,不亚于蒸汽机发明对人类文明的影响。
当人们享受着网络技术进步给生活带来的便利时,也经历了由于底层协议在设计之初对安全性考虑的缺失,导致的今天互联网面临日益复杂和挑战性的安全问题。
网络安全问题的6个基础领域,基础网络安全、终端安全、数据安全、应用安全、身份管理以及物理安全衍生出许多细分领域,基础网络安全里的DDoS攻击导致的业务可用性,其危害性异常严重和突出。
芯片技术和网络技术进步让发送大流量攻击易如反掌。各种浏览器内核能够执行js,可以非常容易制作攻击工具。业务环境的变化包括Web业务、云原生的API微服务,容器安全等让DDoS防护复杂度指数级增大。
宙斯盾团队跟对抗DDoS,可以说是从TCP的三次握手DoS对抗开始——在那时还没有分布式概念,如果在服务器发现了很多syn_rcv连接状态,很不幸这意味着服务器被拒绝服务(Denial of Service)攻击了。
DoS攻击目的不是为了窃取数据,而是影响业务可用性,一种非常新鲜的攻击方式。此时能够想到SYN Cookie对抗算法的机构或组织,理所当然成为了业界标杆,代表对抗技术最先进生产力。
SYN Cookie利用TCP协议栈三次握手来识别正常主机和伪造源IP,一种无状态的验证方式,既节省了大量内存空间,又是一种非常高效验证方法。宙斯盾跟SYN Flood对抗仅仅是DoS对抗的开始,CC 、UDP、DNS、ICMP等flood接踵而至,演变为分布式DoS(DDoS),攻击流量从最初的几十M、几百M发展到几百G甚至上T,自此DDoS对抗掀开了新的篇章。
对抗技术的演变
1. 以信任为基础的防御技术
当DDoS攻击手法发生变化时,对抗技术也在发生演变,但始终围绕着信任展开。SYN Cookie DDoS算法通过传输层协议验证真实主机,CC防护通