文章插圖
2021年9月10日上午，在亞馬遜云科技中國峰會北京站上，百度安全技術總監(jiān)馮景輝以《四兩撥千斤——大流量時代如何以最小成本防御流量攻擊》為題展開了精彩的演說，從流量攻擊技術的昨天、今天和明天，到如何以架構優(yōu)化提高防御能力，以小成本構建基礎防御能力，與怎么利用云SaaS服務來實現(xiàn)更靈活的混合架構防御等多維度，精妙剖析了當下DDoS防護中的眾多痛點與解決之道 。
在過去二十一年的時間里，百度與中國互聯(lián)網共同成長茁壯，百度安全也經歷了各種網絡威脅的歷練，基于這些攻防博弈中的提煉總結，得出網絡流量攻擊的趨勢和發(fā)展 。發(fā)現(xiàn)近年來，網絡攻擊的峰值帶寬規(guī)模以每年平均20%的增速不斷的創(chuàng)造新高，除去網絡基礎設施的擴容外，在于黑客掌握的資源越來越多，諸多可反射的服務、不安全的IOT設備、高風險的移動APP等新的技術與新的設備被用于DDoS攻擊，據AWS在2020Q1威脅態(tài)勢報告披露，最高的一次攻擊流量達到2300Gbps 。同時，在百度安全和中國聯(lián)通聯(lián)合發(fā)布的《2020年DDoS攻擊態(tài)勢報告》中，去年累計監(jiān)測到DDoS攻擊達到63萬次，是前年的近1.75倍，其中小于5Gbps峰值的攻擊占比超過60%，100Gbps以上的大流量攻擊事件16029次，日均達44次，且每次攻擊持續(xù)時間長短不一，根據《報告》統(tǒng)計攻擊持續(xù)時間小于2分鐘的超過30% ?？梢园l(fā)現(xiàn)，攻擊者為尋求攻擊成本和攻擊效果之間的平衡，開始采用間歇式的攻擊方式 。
而分布式拒絕服務攻擊在技術上可以分為兩類，一類是通過海量發(fā)包來擁塞網絡出口或者托管服務器的系統(tǒng)資源的流量型攻擊 DDoS，包括各種各樣的反射性攻擊 。以及通過應用層信息攻擊來消耗內存資源的連接或內容攻擊 CC，借由控制大量的僵尸網絡，它專門請求那些特別消耗資源的數據庫接口、登錄接口、加密接口來實施，如Synflood攻擊，僅需1Mbps的流量就足以打垮一般的服務器 。當攻擊者偽造源IP向目標服務器發(fā)出syn包請求，在目標服務器響應后，等待第三次握手，但這種情況下是等不到的，導致占用半連接隊列的資源，而目標服務器的半連接資源是有限的，很容易就被打超，致使服務癱瘓 。除此之外，反射攻擊也已經成為主流的攻擊方式，其中常見的反射攻擊類型已經超過50種，經百度安全智云盾首次監(jiān)控、分析并預警的新型反射攻擊便有13種之多 。
如何通過小成本去搭建高收益的防御方案，去應對上述的攻防態(tài)勢變化與新型攻擊手段？首先，在傳統(tǒng)IDC網絡側DDoS防御點中，根據一些典型特征，采取對癥下藥的策略，如在Linux服務內核開啟Syn Cookie或進行防火墻的調試，使Syn flood攻擊會被cookie校驗或讓防火墻做針對性攔截來提升防御效果，但這些仰賴于長期對抗下所累積的經驗 。所以，另一方面，從DDoS攻擊緩解的角度，我們認為在對抗過程中，如果在自身源站系統(tǒng)建設具有足夠的健壯性，能極大地提升防御效果：在業(yè)務資源策略上，資源基于業(yè)務隔離，包括動靜分離、前/后端API分離，并評估和掌握當前業(yè)務及對應的服務器、網絡帶寬、數據庫、性能吞吐等的承載性能，與準備必要的資源冗余；在安全策略上，設置合理有效的安全組策略與做好必要的加固、及時更新系統(tǒng)補丁、進行日志存儲與分析，并為源站建立源IP限速的策略 ，與建立應急自動/手工阻斷黑IP的策略；在進階策略上，做好DDoS攻擊應急方案,如系統(tǒng)彈性擴容、服務降級、關鍵業(yè)務加入人機識別、關鍵業(yè)務靜態(tài)維護頁面等， 并接入專業(yè)的第三方防攻擊平臺，做好業(yè)務防御預配置和演練 。

以上關于本文的內容，僅作參考！溫馨提示：如遇健康、疾病相關的問題，請您及時就醫(yī)或請專業(yè)人士給予相關指導!

「愛刨根生活網」www.malaban59.cn小編還為您精選了以下內容，希望對您有所幫助：

• html5零基礎入門教程 html技術的特點和功能
• linux基礎知識總結 linux編程基礎
• 通信基礎知識入門 移動通信系統(tǒng)的組成
• 零基礎學計算機入門自學教程 五大常用辦公軟件有哪些
• linux基礎入門知識 linux基礎培訓文檔
• 線下劇本殺入門基礎知識小白必看 劇本殺怎么玩
• matlab特殊符號大全 有限單元法基礎及matlab編程答案
• 含教學視頻 羽毛球的基礎教學
• 零基礎web安全入門 web滲透教程
• java入門基礎知識 java算法題面試