浅谈数据中心DDoS 防护与实践

    最近两年来，DDoS攻击事件频发，针对全球各大机构的大规模DDoS攻击事件，使DDoS攻击重新成为业界关注的焦点。虽然金融机构根据要求建立了本地和运营商级别的DDos攻击检测清洗服务，但随着互联网类业务的迅速发展，同时DDos攻击的成本不断下降，新的攻击手段层出不穷，攻击工具的泛滥，使DDos攻击形成了一个地下产业，投入极低的成本便可以发起DDos攻击，互联网类业务所受威胁也在不断增加。
文章主要结合多年网络安全运营的经验以及对DDos的基本认识，对DDos攻击的原理和基本防范思路进行了探讨。
DDos的基本概念和类型。     拒绝服务攻击是指通过各种方式消耗网络带宽和系统CPU、内存、连接数等资源，直接导致网络带宽或系统资源的消耗，使目标系统不能为普通用户提供业务服务，从而产生拒绝服务。DDos分布式拒绝服务攻击由Dos演变而来，黑客使用多台受控制计算机(肉鸡)向一个特定目标发送尽可能多的网络访问请求，从而形成大量的流量流，冲击目标业务系统，攻击源分散，范围广泛，遍及全球。在“机密性”、“完整性”和“可用性”这三个信息安全要素中，传统的拒绝服务攻击以系统“可用性”为目标。

    目前，DDos攻击主要分为两类：流量攻击和应用攻击。
业务流攻击的最大特点是业务流量大，快速消耗用户的网络带宽，造成带宽枯竭，有可能出现某一特定目标单位受到攻击，会影响共享运营商资源的其他单位带宽受到影响的情况。

    流量攻击的DDos又可以分为直接型和反射型，直接型包括SYNACKICMPUDPFLOOD等，反射型包括NTPDNSSSDP直接反射FLOOD等。

    应用DDos攻击最典型的就是CC攻击和HTTP攻击，CC攻击是DDos攻击的一种，CC攻击是利用代理服务器产生合法的对受侵害主机的请求，实现DDOS和伪装，CC攻击(ChallengeCollapsar)主要是通过大量后台数据库查询操作来攻击页面，消耗目标资源；HTTP慢速攻击是CC攻击的变种，它适用于任何开放HTTP访问的服务器，攻击者首先建立连接，指定较大的content-length，然后以极低的速度将其发包，比如1-10s发送一个字节，然后保持这种连接不间断。
假如客户机不断建立这样的连接，那么服务器上可用的连接数量就会一点点地被占用，从而导致拒绝服务。
应用型攻击，如CC攻击、慢速攻击和流量DDos的区别在于流量DDos是针对IP的攻击，CC攻击是针对服务器资源的。

    当一般恶意组织发起DDos攻击时，首先被感知并发挥作用的一般是本地数据中心内的DDos保护装置，而金融机构本地保护装置则更多地采用旁路镜像部署方式。
当地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心，首先，DDos检测设备每天通过流量基线自我学习，根据不同的维度，如syn消息率、http访问率等，统计出流量基线，从而产生流量阈值。
在学习结束后，继续按照基线学习的维度做流量统计，并将统计结果与防御阈值比较，发现超过阈值的情况，通知管理中心。

    从管理中心发出引流策略到清洗设备，开始进行引流清洗。异常流清洗通过特征、基线、回复确认等多种方式识别、清洗攻击流。在对异常流量进行清理之后，为了防止流量再次被引到DDos清理设备，可以通过使用出口设备回注接口上强制回注的策略路将流量送到数据中心内部网络来访问目标系统。

操作员清理服务
    在攻击流量超过因特网链路带宽或本地DDos清洗设备性能不足以应付DDos流量攻击时，需要通过运营商清洗服务完成攻击流量的清洗，或者借助运营商临时增加带宽，运营商需要通过各级DDos防护设备以清洗服务帮助用户解决带宽消耗型DDos攻击行为。
实际应用表明，运营商清洗服务能够较好地应对DDos流量攻击。

云端清理服务
    在运营商DDos流量清洗无法达到既定效果的情况下，可以考虑紧急启用运营商云清洗服务进行最后一轮清洗。利用运营商主干网分布部署的异常流量清理中心，实现了运营商主干网络附近近攻击源的分布式近源清理技术，提高了运营商对攻击的对抗能力。有适用场景的可考虑采用CNAME或域名方式，将源站解析到厂商安全提供的云端域名，实现引流、清理、回注，提高抗干扰能力。做这样的清理需要对流道进行较大的改动，牵涉面较大，一般不建议作为日常常规防护手段。     归纳起来，上述三种防御方法有共同的缺点：由于本地DDos防护设备和运营商都不具有HTTPS加密的通信解码能力，导致对HTTPS通信流量的防御能力有限；同时由于运营商的清洗服务多是基底。