【网络攻击与防御】浅谈DDoS攻击与本地防御措施

浅谈DDoS攻击与本地防御措施

DDoS是（Distributed Denial of Service）的缩写，即分布式拒绝服务，在DoS攻击的基础上，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力，使目标服务器无法提供正常服务。

随着云计算、5G、物联网等技术的广泛应用，IPv6网络规模不断扩大，也加剧了DDoS攻击形态复杂化、加密攻击常态化、攻击目标多样化等演变趋势。近年来，DDoS攻击频率、强度逐年倍增，已无可争议地成为当前网络安全最大威胁之一。

1、DDoS攻击现状

根据“华为”发布的“2021年全球DDoS攻击现状与趋势分析”显示：对比近3年攻击流量峰值带宽区间分布趋势，2021年，攻击继续维持向两端延展态势。流量带宽小于10Gbps的攻击全年占比38.73%，流量带宽大于100Gbps的攻击全年占比28.37%。小于10Gbps的攻击以会话层攻击和应用层攻击为主，攻击目标为业务系统；大于100Gbps的攻击以网络层攻击为主，攻击目标为网络链路带宽。

2021年，43.03%的网络层攻击持续时间不超过5分钟，这说明绝大多数攻击倾向于采用“短平快”的攻击手法，挑战防御系统的自动化程度和安全运维团队的响应速度。

因行业内竞争激烈，游戏一直是最容易遭受DDoS攻击的行业，占2021年总攻击次数的51%，其次是电商、政府及公共事业，分别占比15%和9%。

2、如何防御DDoS攻击

对于DDoS攻击，直接切入的非常有效的防御方法比较困难，仍以预防为主，其主要的防范DDoS措施有：

1. 缩小暴露面，隔离资源和不相关的业务，降低被攻击的风险；
2. 提升网络设备性能，提高带宽，提升总负载能力；
3. 部署专业的安全设施，如NGFW、DDoS清洗设备、高防服务器、高防IP等；
4. 使用内容分发网络(CDN)，将基础设施置于CDN后面，减少对企业网络基础设施的攻击；
5. 从互联网服务提供商(ISP)或第三方DDoS解决商购买DDoS缓解/防护服务。

以上各种防范措施中，在本地侧的关键网络节点部署带有抗DDOS功能的防火墙或WAF产品是目前较为主流且适用场景最广的DDoS攻击防范手段，但其处理DDoS攻击的能力有限，如果DDoS攻击流量过大的话，很有可能会由于设备资源耗尽，导致业务无法正常运行，甚至系统崩溃或者宕机。例如IDC、金融、政府、互联网、游戏等行业对网络质量需求极高，这些行业出口带宽流量大，业务类型丰富，对可靠性要求高，并且在抵御外网攻击的同时，又要确保业务应用的畅通。而这些需求仅通过防火墙设备防御DDoS攻击是远远不够的。

倘若为了提高防火墙处理性能，采购T级别或更高级别NGFW设备，仅仅用于防御DDoS攻击，也是一件毫无性价比的事情。故在网络架构中引入专业的DDoS清洗设备处理DDoS攻击流量，确保整个网络的正常运行。

3、DDoS清洗设备简介

本地DDoS清洗设备可以为运营商、企业、IDC、门户网站等提供专业DDoS攻击防护，在防护传统流量型DDoS攻击的基础上，重点加强了针对应用层攻击的防护，真正保护用户业务安全。

3.1 DDoS清洗设备组成

整个清洗设备主要包含检测中心、清洗中心和管理中心三大部分。

1. 检测中心：负责对流量进行检测，发现异常后上报管理中心，由管理中心下发引流策略至清洗中心进行引流清洗。
2. 清洗中心：根据管理中心下发的策略进行引流、清洗，并把清洗后的正常流量回注，同时将这些动作记录在日志中上报管理中心。
3. 管理中心：负责检测中心和清洗中心的统一管理。提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。

3.2 组网方式

    DDoS清洗设备可根据不同的应用场景在Internet与防护对象之间部署设备，用于防御DDoS攻击。其主要的组网方式分为直路部署和旁路部署，具体如下：

如上图所示，在直连部署组网中，所有的业务流量都需要经过清洗中心，清洗后根据路由表转发至防护对象。而在旁路部署组网中，缺省情况下，流量不经过清洗中心，需要配置引流和回注功能，才可实现流量清洗。

4、DDoS清洗设备防御技术

4.1流量监测机制

    DDoS清洗设备采用畸形报文过滤、特征过滤、虚假源防御、真实源行

为检测、基于会话防范、行为分析和流量整形等方法，有效识别流量型攻击、

应用型攻击、扫描窥探型攻击和畸形包攻击等多种攻击类型，实现了对多种DoS/DDoS攻击流量精确清洗，具体如下：

1. 第一步，畸形报文过滤：过滤利用协议栈漏洞的畸形报文攻击、特殊控制报文过滤；
2. 第二步，特征过滤：首先基于报文内容特征的静态匹配过滤，主要针对没有连接状态的攻击进行防范，如UDP Flood、UDP类反射放大攻击（包括DNS反射放大，NTP反射放大等），ICMP Flood；然后基于黑白名单静态过滤；
3. 第三步，虚假源认证：用于防范虚假源发起的SYN Flood；
4. 第四步，应用层源认证：用于防范虚假源或僵尸工具的DNS Query Flood、DNS Reply Flood、HTTP get/post Flood、HTTPS Flood、SIP Flood；
5. 第五步，会话分析：基于会话检查可防范ACK Flood、FIN/RST Flood、TCP连接耗尽攻击、TCP异常会话攻击（socktress、重传攻击、空连接攻击）、DNS Cache Poisoning、SSL-DoS/SSL-DDoS、 HTTP slow headers/post attack；
6. 第六步，行为分析：僵尸网络发起的攻击流量和用户访问业务流量行为上存在很大差异，用户访问业务流量具有突发性，访问资源比较分散；而僵尸网络攻击因属于僵尸工具攻击，流量最大特征是访问频率恒定，访问资源固定。可基于行为分析防范CC攻击、TCP慢速攻击、真实源发起的TCP Flood；
7. 第七步，智能限速：经过上述层层过滤后，如果流量还很大，超过服务器的实际带宽，则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内,包括源限速和目的IP限速。

4.2 通用防御原理

    凡经过DDoS清洗设备的流量都会根据多层流量检测机制进行清洗，其过程中通用的防御原理如下：

1. 首包丢弃：针对一个数据流（五元组信息不一致），收到的第一个报文不响应，直接丢弃，正常的业务报文会进行重传，而攻击者发送的大量随机报文并不会重传；
2. 限流：针对一个数据流（五元组信息不一致）进行连接限制，可限制流量大小或者针对连接数进行限制；
3. 过滤器：在清洗设备上自定义报文的源IP、目的IP、协议、TTL等特征，将这些特征组合在一起作为过滤条件。后续对到达清洗设备的报文进行匹配，如果特征匹配，则表示命中过滤器，并对匹配的报文执行相应操作；
4. 黑白名单：将一些不可信任的源IP地址加入黑名单，对此源发出的报文禁止通过；将信任的源IP地址加入到白名单，对此源发出的报文允许通过；
5. 会话检查：检测会话状态（TCP、ICMP等），根据会话状态判断报文是否合法，如并未存在TCP SYN报文，直接受到一个全新五元组的ACK报文，不符合会话状态，该报文将被丢弃；
6. 验证：针对HTTP类业务，进行页面重定向，在重定向页面中需输入验证码方可继续访问，可过滤掉非正常用户的HTTP报文。

此外，清洗设备会一些特定的流量，针对性的开展防御措施，下面就特定流量防御功能中的TCP防御、UDP防御和HTTPS防御展开具体分析。

4.3 TCP防御原理 - SYN Flood

1）攻击原理

攻击者伪造大量的SYN请求报文发送给服务器，服务器每收到一个SYN就会响应一个SYN-ACK报文，但是攻击者并不会理会此SYN-ACK报文，所以服务器端会存在大量TCP半开连接，维护这些链接需要消耗大量的CPU及内存资源，最终导致服务器无暇处理正常的SYN请求，拒绝服务。

与SYN Flood攻击相似的攻击还有FIN Flood攻击、RST Flood攻击、ACK Flood攻击等，其攻击原理都是伪造带有特殊标志位的TCP报文，对目标服务器发起攻击，消耗其系统资源，最终导致服务器无法提供正常的服务。

2）防范原理

第一阶段-源认证：清洗设备接收到SYN报文，发送SYN-ACK探测报文到SYN报文中的源IP地址。清洗设备通过源IP地址对探测报文的响应报文校验源是否合法，以防止虚假源攻击。

如上图所示，如果客户端是虚假源，则不会对错误的SYN-ACK报文进行回应，认证失败，防火墙丢弃后续此源地址的SYN报文；如果客户端是真实源，则会响应一个RST报文，认证通过，防火墙把此源地址加入白名单，并放行后续的SYN报文。

    第二阶段-源IP监控：源IP加入白名单之后将继续对真实源IP进行统计分析，对异常的源IP进行限速，以防止真实源发起攻击。

如上图所示，限速周期内SYN报文数超过阈值，则触发限速动作，或者在连续检测周期内，异常次数超过阈值，则将源IP加入动态黑名单。

4.4 UDP防御原理 - UDP Flood

1）攻击原理

UDP协议是一种无连接的服务，攻击者向服务器发送大量UDP协议数据包，如发送大量UDP报文冲击DNS服务器、Radius认证服务器、流媒体视频服务器等，导致服务器带宽和系统资源耗尽，无法提供正常服务。

UDP Flood攻击包括小包和大包两种方式进行攻击：

小包是指64字节大小的数据包，这是以太网上传输数据帧的最小值，在相同流量下，单包体积越小，数据包的数量就越多。由于交换机、路由器等网络设备需要对每一个数据包进行检查和校验，因此使用UDP小包攻击能够最有效的增大网络设备处理数据包的压力，造成处理速度的缓慢和传输延迟等拒绝服务攻击的效果。

大包是指1500字节以上的数据包，其大小超过了以大网的最大传输单元，使用UDP大包攻击，能够有效的占用网络接口的传输宽带，并迫使被攻击目标在接受到UDP数据时进行分片重组，造成网络拥堵，服务器响应速度变慢。

2）防范原理

如上图所示，UDP Flood攻击报文具有一定的特点，这些攻击报文通常都拥有相同的特征字段，可以通过指纹学习的方式防御UDP Flood攻击。在连续一段时间内，防火墙收到的具有相同目的地址的UDP报文数量如果超过闻值，则触发指纹学习。防火墙将攻击报文的一段显著特征学习为指纹后，匹配指纹的报文会被丢弃。

另外，当UDP流量超过阈值时，会触发载荷检查，如果UDP报文数据段内容完全一样，则会被认为是攻击而丢弃报文。如下图：

4.5 HTTPS防御原理 - SSL

1）攻击原理

攻击者通过代理、僵尸主机或者直接向目标服务器发起大量的HTTPS连接，造成服务器资源耗尽，无法响应正常的请求。

2）防范原理

如上图所示，清洗设备基于目的地址对HTTPS请求报文速率进行统计，如果某个源IP地址到目的IP地址的协商次数超过最大值，则将此会话标记为异常会话，在异常会话检查周期内，如果异常会话数超过最大值时，判定该源IP地址异常，将该源IP地址加入黑名单。

5、结语

随着互联网环境越来越复杂，DDoS攻击的形式也在发生着日新月异的变化，新的攻击方法还在不断被发明出来。理论上，对于DDoS攻击来说并没有100％有效的防御手段，DDoS清洗设备也仅仅是起到了基本的防御目的，但是只要我们更好的了解DDoS攻击，积极部署防御措施，还是能够在很大程度上缓解和抵御这类安全威胁的。