用高防CDN加速復(fù)盤一次DDOS攻擊防護過程

01

什么是DDOS攻擊

分布式拒絕服務(wù)攻擊(英文意思是Distributed Denial of Service，簡稱DDoS)是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個。

一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標(biāo)四部分組成。主控端和代理端分別用于控制和實際發(fā)起攻擊，其中主控端只發(fā)布命令而不參與實際的攻擊，代理端發(fā)出DDoS的實際攻擊包。對于主控端和代理端的計算機，攻擊者有控制權(quán)或者部分控制權(quán)．它在攻擊過程中會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。真正的攻擊者一旦將攻擊的命令傳送到主控端，攻擊者就可以關(guān)閉或離開網(wǎng)絡(luò)．而由主控端將命令發(fā)布到各個代理主機上。這樣攻擊者可以逃避追蹤。每一個攻擊代理主機都會向目標(biāo)主機發(fā)送大量的服務(wù)請求數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過偽裝，無法識別它的來源，而且這些數(shù)據(jù)包所請求的服務(wù)往往要消耗大量的系統(tǒng)資源，造成目標(biāo)主機無法為用戶提供正常服務(wù)。甚至導(dǎo)致系統(tǒng)崩潰。

02

事情大致經(jīng)過

7月20日11點左右，某網(wǎng)站遭遇DDOS攻擊，攻擊峰值達200G以上，waf防火墻首當(dāng)其沖，服務(wù)壓力直線上升，高防的占用帶寬曲線火箭式凸起，各種報警也如期而至，頓時如臨大敵，……此處略去5000字……

03

攻擊分析

從ddos攻擊的原理可知，這是網(wǎng)絡(luò)安全領(lǐng)域最難防的一種攻擊方式，攻防之間的較量拼的是硬實力，100G的攻擊需要用120G的防護，1000G的攻擊需要1200G的防護，拼的就是誰的設(shè)備多，誰的硬件硬。而攻擊者通過直接或間接控制網(wǎng)絡(luò)中的終端（俗稱肉雞）發(fā)起攻擊的前提是收購肉雞，其實成本也是很高的，所以一般無利可圖的情況下沒必要發(fā)起這種攻擊，它和那些新手蛋子整點小花樣發(fā)起的sql注入、跨站以及遠程腳步之類的攻擊有本質(zhì)的不同，所以如果遭受DDOS攻擊，一般有以下幾種原因：

1、綁架勒索。通過發(fā)起攻擊再賣你安全防護產(chǎn)品，這和以前的殺毒軟件先制毒一個道理。

2、同業(yè)競爭。這個很好理解，畢竟同業(yè)相輕，搞你幾次壞你的名聲，這樣用戶會對你產(chǎn)生負面看法，從而遠離你到你的競爭對手那里，這種手段很卑劣，但是商場如戰(zhàn)場，兵不厭詐，不過投產(chǎn)比也高不到哪里去，一般逼不到份上不會搞。

3、逼你擴容。這也是一種變相的綁架勒索，賊喊捉賊，告訴你增加設(shè)備，升級配置，增強防護，所謂家賊難防，這種是最惡心的，因為云計算也是另一種形式的中心化，家底都在服務(wù)商那里，真想搞你也是分分鐘的事情。

4、散兵游勇。網(wǎng)絡(luò)上的業(yè)余黑客也不少，抱著各種各樣的心態(tài)刷存在感，時不時的弄幾波攻擊練練手是家常便飯，偶爾也會泛起點大風(fēng)浪，不過一般不會持續(xù)太久，頂多算是過路“黑客”。

這幾個情況也有可能是同時發(fā)生，比如同業(yè)競爭者自己的攻擊水平不行，就找一些專業(yè)“殺手”代辦，代理人乘機再勒索一把，兩邊收錢，確實沒用職業(yè)道德，不過這些人本來干的就是見不得光的事情，談職業(yè)道德就有點可笑了。

04

防范措施

DDOS攻擊的最大特點是沒有有效的防護措施（從性價比的角度），你可以弄個上千G帶寬防護，那一年沒有上千萬的投入是不夠的的，對一些小公司來說倒是有一些小技巧再一定程度上起到防范的效果。

1、隱藏真實的ip的地址。每一個域名都需要被解析后才能訪問，這個被解析后的ip一定不要用真實的ip地址，如果加了waf防護，解析的是waf的ip，如果用了負載均衡地址，解析的是負載的ip，如果什么都沒用，那就是實際的應(yīng)用服務(wù)器的ip，無論是那種解析方式，其ip對應(yīng)的設(shè)備都可能被攻擊（因為這種解析是必須要做的，最終都必須要暴露一個ip），一旦waf或負載或服務(wù)器被攻擊，最直接的結(jié)果就是waf失靈，負載失效，服務(wù)器崩潰，最有效的手段是弄一個高防的ip（專門清洗惡意流量的集群用于防護）分散攻擊流量，后面再用上防火墻，負載等常規(guī)設(shè)備。

2、巧用CDN。安全產(chǎn)品的價格都是非常高的，一套標(biāo)準(zhǔn)的waf一年沒有個10幾萬也拿不下來，更別說高防ip，那都是論月論天收費的。但是CDN基本是標(biāo)配，成本相對來說要低很多，另外cdn本身具有分散，多點的特征，將全站直接解析到高防CDN上，即可以加速又可以防護，豈不是一箭雙雕！不過，也別高興的太早，有可能高防CDN只是加速行，安全防護卻不在行，不過這是個思路，有興趣的可以試試，萬一可以呢！

建議cdn不要對任何靜態(tài)文件進行加速，只利用其分流惡意流量，為后端服務(wù)器減壓。

3、手動清洗。如果服務(wù)的中斷不可避免，那么需要考慮的就是如何更快速的恢復(fù)服務(wù)，很多云服務(wù)提供商為了降低攻擊對整個網(wǎng)絡(luò)的影響，就直接粗暴的把你的服務(wù)拉入黑洞，并無法自動解除，只能等待，這個時候服務(wù)的中斷時間就完全不可控了，而一旦采購了某個安全產(chǎn)品，就可以手動解除黑洞（其實是清洗惡意流量），這樣基本確?？梢?0分20分鐘就可以恢復(fù)服務(wù)。但是如果持續(xù)不間斷的攻擊，這種方法就不行了，因為解除黑洞是以攻擊短期性為前提的，否則解除了又拉黑，就沒有意義了。

05

寫在最后

濤哥一直說IT之于業(yè)務(wù)就像空氣之于生命，平時感覺不到它的存在，一旦失去，就會性命堪憂。對于IT來說，安全問題又何嘗不是如此！

當(dāng)沒有發(fā)生安全事故的時候，我們是意識不到安全的重要性的，一旦發(fā)生，那卻有可能是致命的，所以安全無小事，防患于未然放之各行各業(yè)而皆適用……