浅析DDOS攻击防御思路

近年来已经发生了多起针对全球型机构大规模的DDoS攻击事情，使得DDoS攻击又从新回到了大众的视野中来，引发了轩然大波。虽然说大型机构都按照要求创建了本地以及运营商级的DDOS攻击检测清洗服务，但随着网联网的快速发展，同时攻击成本的不断下降，使得新型的攻击手法频出不断，甚至一度让DDOS攻击造成了一个产业链，让诸多互联网类业务遭受到极大的威胁。小墨经过多年的网络安全运维经验及对DDOS攻击的基本理解，给你们说一下流量型攻击的基本防御思路。

1.本地DDos防御设备。通常恶意组织发起DDos攻击时，率先感知并起做用的通常为本地数据中心内的DDos防御设备，金融机构本地防御设备较多采用旁路镜像部署方式。本地DDos防御设备通常分为DDos检测设备、清洗设备和管理中心。首先，DDos检测设备平常经过流量基线自学习方式，按各类和防护有关的维度，好比syn报文速率、http访问速率等进行统计，造成流量模型基线，从而生成防护阈值。学习结束后继续按基线学习的维度作流量统计，并将每一秒钟的统计结果和防护阈值进行比较，超过则认为有异常，通告管理中心。由管理中心下发引流策略到清洗设备，启动引流清洗。异常流量清洗经过特征、基线、回复确认等各类方式对攻击流量进行识别、清洗。通过异常流量清洗以后，为防止流量再次引流至DDos清洗设备，可经过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络，访问目标系统。

2.运营商清洗服务。当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时，须要经过运营商清洗服务或借助运营商临时增长带宽来完成攻击流量的清洗，运营商经过各级DDos防御设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证实，运营商清洗服务在应对流量型DDos攻击时较为有效。

3.云清洗服务。当运营商DDos流量清洗不能实现既定效果的状况下，能够考虑紧急启用运营商云清洗服务来进行最后的对决。依托运营商骨干网分布式部署的异常流量清洗中心，实现分布式近源清洗技术，在运营商骨干网络上靠近攻击源的地方把流量清洗掉，提高攻击对抗能力。具有适用场景的能够考虑利用CNAME或域名方式，将源站解析到安全厂商云端域名，实现引流、清洗、回注，提高抗D能力。