DDOS攻擊防護--【文末贈書】

 DDOS即分布式拒絕服務攻擊，攻擊者利用不同位置的大量「肉雞」對目標發動大量的正常或非正常請求，耗盡目標主機資源和網絡資源，使被攻擊的主機不能正常為合法用戶提供服務。

DDOS攻擊具有攻擊成本低、危害大、防禦難的特點，是企業安全建設需要防範的風險之一，本節介紹DDOS攻擊分類及危害、DDOS攻擊的常用方案，並重點闡述雲抗DDOS攻擊應用方案。

1．DDOS攻擊分類從DDOS攻擊的類型上，主要分為流量型攻擊和應用型攻擊。流量型攻擊如SYNFoold、ACK Flood、UDP Flood；應用型攻擊主要包括HTTP CC攻擊、DNS Query Flood。如圖1為SYN Flood攻擊，客戶端發送SYN包給服務端，服務端返回SYN+ACK包，客戶端會返回ACK確認包，完成3次握手。但是攻擊者可以很容易偽造源IP發送SYN包，服務端響應SYN+ACK包，但客戶端永遠不會回復ACK確認包，所以服務端會不斷重試（一般會5次），當大量的惡意攻擊請求包發送過來後，服務端需要大量的資源維護這些半連接，直到資源耗盡。

如圖2，為CC攻擊的軟體示意圖，該軟體可以接入代理IP源，每個請求使用不同代理IP，並且可以修改請求的瀏覽器UA、控制線程數、選擇攻擊目標等，攻擊的效率非常高，只要掌握數臺機器和代理IP資源，就可以發送大量的HTTP請求，耗盡Web伺服器的性能。

如果是流量型攻擊，很容易把網際網路入口堵死，一般DDOS流量攻擊動不動就是10G打起，對於一般中小企業，網際網路總帶寬遠小於這個量級，很容易就被打垮。如果是託管在運營商或第三方數據中心機房，為了保障在同機房中的其他客戶能正常使用網際網路帶寬資源，往往會將被攻擊的IP臨時摘除（黑洞），讓黑客的攻擊流量無法送達。如圖3為流量型攻擊的示例圖，運營商的抗DDOS設備上監控到的10G左右的攻擊流量從不同地方打過來。

如果是CC攻擊，很容易把Web伺服器或相關資料庫伺服器打死，特別是有和資料庫交互的頁面，黑客攻擊時會先找到這樣的頁面，然後發起大並發的HTTP請求，直到耗盡Web伺服器性能或資料庫性能，無法正常提供服務。如圖4為CC攻擊示意圖，可以看到在一段時間內，同一個Useragent的請求佔比很高，有些CC攻擊會往固定的幾個URL發起攻擊，這些URL的請求量會特別高。

如果沒有效手段阻斷攻擊DDOS攻擊，必將影響公司業務正常開展。
DDOS攻擊防護需要依靠DDOS攻擊防護系統，如圖5所示，為運營商級DDOS攻擊防護系統的防護架構圖，其防護流程如下。（1）正常情況流量從運營商骨幹網路由器路由到用戶機房的路由器上。（2）DDOS攻擊防護系統一般包括檢測系統和清洗系統2個部分，檢測系統通過網口鏡像或分光器鏡像流量的分析，判斷是否存在DDOS攻擊行為，一旦發現則通知清洗伺服器，開啟防護模式。（3）清洗系統開啟BGP通告，將原來轉向用戶機房的路由牽引到清洗系統路由器上，這時攻擊流量就改變方向流向到清洗伺服器上。（4）清洗伺服器將攻擊流量清洗，正常業務流量放行。（5）正常業務流量回注到用戶機房，這樣就完成了DDOS攻擊防護。

DDOS攻擊防禦的前提條件是有足夠的冗餘帶寬，冗餘帶寬是指保障業務正常訪問帶寬後的剩餘帶寬。因此，除了少數大型企業有自建DDOS防護系統的必要，大多數情況一般是購買運營商抗DDOS服務，或者使用雲抗DDOS防護服務。如表1，為不同DDOS攻擊防護方案的應用場景和優缺點比較。

如圖6所示，為典型的雲抗DDOS攻擊防護方案部署圖。

（1）首先需要購買高防IP服務，根據需要選擇，建議選擇BGP高防。高防IP服務一般有保底防護帶寬和彈性防護帶寬，彈性防護帶寬需要根據實際防護量單獨再收費。（2）配置DDOS防護策略，需要將域名、回源配置設置好，如果是CC攻擊防護，還需要將HTTPS證書導入到抗DDOS防護中心。（3）驗證配置是否正確，可以修改本地電腦的hosts文件，改到高防IP上，然後通過域名訪問，看是否已生效。（4）實際使用時，將DNS切換到雲抗DDOS中心，一般通過修改CNAME或A記錄即可。（1）在實際應用過程中，建議將抗DDOS的源站線路和日常源站線路分開，且抗DDOS攻擊的源站IP沒有被暴露過。因為一般發生攻擊時，源站線路的IP可能被ISP黑洞，短時間內無法使用；另外如果更換一個同一個網段的IP作為新的源站IP，很容易被黑客猜到。（2）主站IP要和其他服務站點的IP分開，因為主站IP經常可能遭受攻擊，這樣可以降低攻擊的影響面。（3）需要放行雲DDOS防護中心的網段，避免被防火牆、IPS、WAF等設備阻斷（因為同IP的請求頻率會變高）。另外需要考慮透傳真實用戶請求IP，用於進行統計分析等應用。（4）需要考慮服務延時，需要考慮雲抗DDOS中心機房和源站的地理位置，如果離得太遠，很有可能會增加訪問延時。（5）一般不建議將流量一直切換到抗DDOS中心，只有遭受攻擊時再切換。或者當有重要活動時，可以事先切換上去，避免遭受攻擊時DNS切換的時間，影響重要業務活動。（6）對於CC攻擊，第一優先防護方案是WAF，如果實在不行，再切換到抗DDOS中心。某公司，主機房伺服器託管在數據中心，災備機房在雲上。主要應用為網站和APP，經常遭受DDOS攻擊，影響業務開展。採購某雲DDOS廠商服務，10G BGP + 彈性防護擴展。攻擊時通過DNS切換將流量切到高防IP上，營銷活動開展時，事先將流量切到高防上。流量型攻擊防護效果比較理想，CC攻擊防護效果也不錯（需要和廠商配合進行策略優化）。               本文摘自----《企業信息安全建設與運維指南》一書中，略有修改，以紙質書為準。

     未來希望有更多的小夥伴投身到網絡安全建設中，推薦一本實用性書籍。

     為了感謝大家一直以來的關注與支持，會有五本書籍免費贈送

     本文評論區評論的點讚前五名即可獲得下圖中書籍！還不快來「擼」

     大家多多把文章轉發到朋友圈邀請好友點讚哦！切記，是評論區的點讚前五名哦！

     活動截止時間為6月13日 18:00點（活動時間段是早6點到晚6點），我們會在6月13日18:00點評論中回覆中獎者，到時候還要及時私聊公眾號留下你的收貨地址、姓名和手機號，好給您發送書籍哦！

       本書主要包括基礎安全設施建設、安全自動化系統建設、業務安全體系建設３個部分。第一部分介紹當進入一個安全建設空白或基本為零的企業時，如何著手規劃並一步步建成較為完善的安全體系；第二部分主要介紹安全自動化，幫助大家掌握開源的二次開發思路，設計適合企業自身特點的安全系統；第三部分介紹業務安全體系建設，包括網際網路黑產攻擊手法、風控系統建設方案和業務安全風險防控體系建設實踐。

以上是本書的詳細介紹

未能進入點讚前五名的小夥伴也不要灰心，我們之後還會有贈送其他書籍的活動。

或者只想得到以上同樣的書籍也可以點擊書籍簡介上的連結購買，好書值得擁有👀。