关于DDoS攻击的六种场景防御手段

DDoS攻击最大的特点就是流量大，但是也有一些其实流量不太大的攻击也一样达到攻击效果；所以就有了各种检测防御。通常来说，本地抗DDoS攻击的设备某种程度上完全可以实现DDoS攻击的清洗，正所谓求人不如求己嘛；只要攻击流量没把带宽占满，其实本地清洗也足够了。但是如果收到的攻击流量已经超过了链路带宽的时候，本地已经无法解决了，所以就需要启动运营商的协助清洗了；可是万一这条受攻击的链路不受保护咋办呢？临时扩容带宽是一个好办法。另外就是在运营商在清洗流量的同时，自己也可以启用云清洗的服务。 其实运维人员在日常的维护过程中，相信遇到过不少DDoS攻击是混合攻击的，就好比说以大流量反射做掩护，暗地里混入一些CC和连接耗尽或者慢速攻击；那么这时就很有可能需要运营商来针对性地去清洗了，需要先把大部分的流量清洗掉，把链路带宽清理出来，然后剩下的就可以交给本地来进一步清洗剩下的攻击流量了。

对于典型DDoS攻击根据攻击特征来进行分类转换为攻击场景我们可以大致分成这几种：

1、流量型（直接）：SYNACKICMPUDPConnection FLOOD等DDoS告警；

2、流量型（反射）：NTPDNSSSDPICMP FLOOD等DDoS告警；

3、CC：流量变化可能不明显，业务访问缓慢，超时严重，大量访问请求指向同一个或少数几个页面；

4、HTTP慢速：流量变化可能不明显，业务访问缓慢，超时严重，大量不完整的HTTP GET请求，出现有规律大小（通常很小）的HTTP POST请求的报文；

5、URL反射：流量变化明显，业务访问缓慢，超时严重，大量请求的Referer字段相同，表明均来自同一跳转页面；

6、各种DoS效果漏洞利用：入侵检测防御设备可能出现告警，DDoS攻击检测设备告警不明显。

对于这些不同的场景我们需要作出的应对策略也要有所不同，而根据上面说的六种情况，我们也梳理出一些攻击场景部署防御手段来对号入座：

第一，针对流量型（直接）。对于流量未超过链路带宽直接本地清洗就可以了；但是如果流量超过链路带宽，那么这个时候我们就要通知运营商清洗或者临时扩容，同时也可以启用云清洗，最后当然也需要本地清洗一下啦！而且针对SYN、ACK、UDP、ICMP等类型的flood攻击，一般情况下本地清洗设备的防御算法都可以轻松应对，比如说首包丢弃、IP溯源等；但是在某些特殊情况下，可以在这个基础上增加一些限速，这样至少可以保证在遭受攻击的时候保持业务基本的可用性。当然啦，如果通过排查发现发生攻击源IP具有地域特征，例如大量来自国外的攻击，就可以直接根据地域进行限制。

第二，针对流量型（反射）。同样分两种情况，对于流量未超过链路带宽的一样本地清洗就可以解决；对于流量超过链路带宽就通知运营商清洗或者临时扩容，同时启用云清洗，最后进行本地清洗。这个针对NTP、DNS、SSDP等类型的反射攻击，一般情况下本地的清洗设备都可以有效的进行缓解了，比如说对UDP碎片包的丢弃，以及限速等；而在某些特殊情况下，由于反射攻击的特征大多呈现为固定源端口+固定目的IP地址的流量占了整个链路带宽的90%以上，这样的话我们就可以针对性地去进行更加彻底的丢弃规则。

第三，针对CC攻击，一般来说我们都会先进行本地清洗；如果清洗过后不是效果不太好的话，就可以启用云清洗了。有些时候面临着十分紧急的情况而且清洗效果也很不明显的时候，就可以采用临时使用静态页面进行替换。

第四，针对HTTP慢速，同样也是先进行本地清洗；本地清洗效果不太好就启用云清洗。对于HTTP body慢速攻击，建议在受到攻击的过程中分析出攻击工具的特征后，进一步地针对特征在本地防御设备进行配置。

第五，针对URL（反射），同时进行本地清洗和云清洗；并且要在攻击过程中找出反射源，这样就可以在本地防御设备中进行高级配置了。

第六，针对各种DoS效果漏洞的利用，这个某种程度上需要网络运维人员平时的监控和日常维护工作要做到位了：监控入侵检测或防御设备的告警信息、做好系统漏洞修复。而且对于此类攻击，从严格意义来说算不上DDoS攻击，某种程度上只算是达到DoS效果的攻击，仅做补充场景，但是也不能忽视哦！
对于每一位网络运维人员来说，日常的积累可能会有更多的解释或者分类，也或者还有自己独特的防御方法，今天给大家分享的这六种场景也仅仅是冰山一角罢了，可是也希望能对大家有一定的帮助。