企业安全体系架构分析抗DDoS解决方案.docx

企业安全体系架构分析抗DDoS解决方案.docx

《企业安全体系架构分析抗DDoS解决方案.docx》由会员分享，可在线阅读，更多相关《企业安全体系架构分析抗DDoS解决方案.docx（9页珍藏版）》请在冰豆网上搜索。

企业安全体系架构分析抗DDoS解决方案

企业安全体系架构分析：

抗DDoS解决方案

一、文章大纲

1.什么是DDoS

2.DDoS原理

3.DDoS类型及特征

4.抗D解决方案前提明确

5.如何与公司高层谈论抗D方案重要性

6.部分DDoS类型的防范

7.抗D清洗三方如何选用

8.咨询（尾部附作者微信二维码供读者进行免费安全建设咨询）

二、本文章主旨

本文章意在阐述如何向高层出具抗DDoS方案，出具抗DDoS方案时应该注意的点与怎样做出的抗D方案更能说服高层同意执行。

文章更多偏向于企业管理，会讲述部分基础DDoS攻击类型与基础防御，但不做技术层面的深究。

适用于中高层安全管理人员、甲方安全建设人员阅读。

三、正文

这次来讲讲抗DDoS的解决方案建设。

为什么从之前的将WAF跳到今天将抗D，因为在这淡出的一段时间中，没少跟大流量打交道，我所在的公司又是一个互联网金融公司，被D之后交易流量受到很大影响，造成的损失也是相当惨重。

下面本文就将讲述如何向公司高层提出优质的抗DDoS方案建议。

闲话不说了，先需要与高层讲一下什么是DDoS。

1、ddos的定义

分布式拒绝服务攻击（英文意思是DistributedDenialofService，简称DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。

由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

以上是XX百科的官话，翻译成普通话就是很多台客户端同时对服务器进行大流量的访问，导致以下几种可能：

1.业务带宽跑满造成正常交易流量无法进行

2.大流量冲击造成服务器IP被运营商拉入黑洞，所有客户端无法访问

3.大流量冲击造成服务器负载飙升，服务器瘫痪

在所有的DDoS中，大流量是特性，当然这其中并不包括利用漏洞溢出的DoS攻击，比如蓝屏攻击、针对IIS的MS15-034等，这种攻击需要在系统和组件层面做防护，比如打补丁或启用安全风险识别拦截产品，比如WAF等。

那么如何区分大流量中的恶意流量和正常流量则成为解决方案的重点。

2、抗D方案出具的前提与高层认知

首先在本解决方案出具前，我和高层讲述DDoS攻击的事故分析时特意强调了一些内容，这些内容是所有人必须达成一致的，否则将不需要考虑如何解决DDOS攻击引起的业务灾难：

由于DDoS属于流量洪水攻击，防御DDoS是需要将流量洪水全部吃下，然后进行内部筛选过滤，对于清洗中心的服务器集群性能与带宽要求极高，一般企业无法承担自建清洗中心的任务，需要借助运营商的力量。

并且由于云上特性，边界防火墙不可控，只能通过域名解析的方式进行三方接入。

强调分析：

1.抗DDoS需要能扛得住峰值流量

2.数据清洗要求服务器性能极强，能快速处理峰值流量并完成分析过滤功能

3.云上边界防火墙不可控，在流量还没有到达前置负载时运营商和云厂商的边界防火墙会直接把前置LB拉入黑洞，所以如果在云上做防御，流量不能直接经过云

在与高层进行方案核对谈判的时候一定要注意以下几点：

1.高层眼中安全负责人就要低成本甚至0成本负责整体安全事件处理

2.安全事件一旦发生，无论现实是否是安全负责人可以解决的事情，责任都是安全负责人的

3.一旦发生成本损耗，一定要让高层知道安全负责人在能满足需求的情况下尽力节约成本

4.高层所在意的事情是平衡投入与产出，所以需要提前做好资损估算与投入产出比

3、高层认知的止损算法

在这里给大家介绍一个算法

年度损失期望（ALE）=资产价值（AV）*暴露因子（EF）*年度发生概率（ARO）

举个例子，一个交易系统一年能够带来1000W的收入，那么资产价值就是1000W，一旦发生DDoS事件，则损失将会是100%，甚至导致后续交易用户不信任的问题，则损失将会是100%以上，年度发生概率结合实际情况，在这里举一个0.4%的例子，那么ALE=4W，即为每年遭受2次的DDoS攻击，损失即在4W以上（一次攻击黑洞封锁24小时，即1次攻击为1天的损失）。

在此一定要跟高层强调止损，比如如果我们每年在三方清洗上投入为20W，那么一旦发生DDoS攻击，对方只要一年攻击我5次以上，都是我们的止损值，另外要和高层强调的是攻击原理，并不是我们在技术能力上不能防御，而是条件不允许（参考强调分析）。

4、常见DDOS攻击类型与防御

以上是一些方案要点，之后介绍一下DDoS攻击的类型。

在此重点注意要与高层强调本次发生（或预防）的攻击是何种DDOS类型，因为如果高层决定0投入去做防御的话，一定要声明哪种可以防，什么情况可以防，哪种是放弃式防御。

常见的DDoS包括synflood、icmpflood、pingofDeath、udpflood、CC等，其中pingofDeath在中美黑客大战中还被评论为经典DDoS攻击手段，一时间受到极大程度的追捧，目前使用pingofDeath的攻击并不多见，其原理是向被害主机发送大于65507字节（在网络传输时会分片，到达目的地时重组后数据段大于65507字节）的ICMP包，该恶意包经过重组后有可能造成未打补丁的系统崩溃。

由于此攻击比较好防御，通过补丁和禁ping的方式都可以轻易防御，所以目前使用此攻击方式的并不多见。

最常见的还是synflood、udpflood和CC攻击，先来聊一聊synflood

学过网络的都会对TCP的3次握手有所了解

客户端发送SYN包给服务器（第一次握手），服务器收到SYN包后对客户端发送SYN+ACK包（第二次握手），最后客户端发送ACK包给服务器（第三次握手）。

synflood以多个伪造的源主机地址向目的主机发送SYN包，而在收到目的主机的SYNACK后并不回应，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

这是现在最流行的攻击之一。

现象：

1.网络中断

2.大量的SYN_RECV

3.抓包会抓到大量的SYN报文

4.CPU内存使用率飙升

防御：

1.如果量级没有达到黑洞阀值与业务峰值，可以通过临时改正sysctl.conf的参数达到临时防御的目的

tcp_synack_retries=0 #表示回应第二个握手包（SYN+ACK包）给客户端IP后，如果收不到第三次握手包（ACK包）后，不进行重试，加快回收“半连接”，不要耗光资源。

net.ipv4.tcp_max_syn_backlog=200000  #半连接队列长度，参数需要根据内存进行调优

net.ipv4.tcp_syncookies=1   #开启SYNCookies。

当出现SYN等待队列溢出时，启用cookies来处理

其他参数优化sysctl.conf请请教运维或自行查验，本文章仅做抗D部分的临时优化，而非日常优化。

2.自动化脚本禁封IP，根据访问频率自动化禁封IP，这个方法是比较常用的，但如果来源IP很多的话效果将不会很明显

3.如果量级达到黑洞阀值与业务峰值，只能接入三方设备，比如智能防火墙、高防IP等，再通过回源解析的方式使流量通过三方清洗后再进入LB。

要注意的是如果攻击方攻击的是LB的IP并非域名，则需要将LB的IP更新后再接入三方设备。

除了synflood还有udpflood，这个攻击是个大类别攻击，其中又分为很多小类攻击，比如Teardrop、DNSQueryFlood和一些DRDOS攻击等。

在此以DRDOS中的SSDP为例，也是我这段时间一直在对抗的比较主流的流量放大型攻击。

其原理是基于SSDP协议利用一些智能设备进行反射式攻击，攻击带宽放大倍数最高可达75倍。

并且由于UPnP设备的庞大数量，这一攻击带来的危害可想而知。

该攻击能使流量放大约30倍。

如果是正常情况下的时数据通信，每次请求发送，对应的响应应该沿着原路返回。

如图3.3（a）所示。

但DDOS攻击者会将中正常请求中的源IP地址伪造成目标主机的IP地址，这样一来，响应就发给了目标主机，如图3.3（b）所示。

当然在实际的DDOS攻击中，必然存在大量的中间媒介作为反射器，因为DDOS攻击的形式就是分布式并且是大规模的，所以只发给一个反射器是无法形成DDOS功能机的。

图3.3（c）表现的就是当存在多个反射器的DDOS攻击。

由于公网暴露的unpn设备众多

可以通过伪造源IP的方式向众多公网UPNP发起请求，unpn设备会向伪造的源IP发起回应，导致流量洪水。

对于反射型攻击，攻击者主要利用许多网络协议在数据通信过程中没有进行源IP认证这一网络缺陷成功发起攻击，同时为了达到攻击流量最大化的目的，他们会在此基础上选择一些具有放大效果的网络协议。

总结来说，黑客通过IP欺骗的方式完成了反射和放大，达到了用小流量置换数倍大流量的效果。

更多ssdp原理与研究请私信作者获得更详尽资料，参考资料《基于SSDP的DDOS攻击防御技术的研究》《SSDP协议反射型DDoS攻击原理和防范》，文献来源：

中国知网

防御：

如果量级没有达到黑洞阀值与业务峰值，可以考虑禁用SSDP协议，云上需开通云防火墙，或LB中指定允许通过的协议。

自动化脚本禁封IP，根据访问频率自动化禁封IP，这个方法是比较常用的，但如果来源IP很多的话效果将不会很明显

在攻击目标侧，识别收到消息中是否有SSDP应答消息的特征指纹

如果量级达到黑洞阀值与业务峰值，只能接入三方设备，比如智能防火墙、高防IP等，再通过回源解析的方式使流量通过三方清洗后再进入LB。

要注意的是如果攻击方攻击的是LB的IP并非域名，则需要将LB的IP更新后再接入三方设备。

对于CC攻击的防御与讨论，请翻阅之前的系列文章。

还有更多的DDoS攻击手法，原理不同，效果一致，在此不多做探讨，有兴趣可以私下交流一番。

与此同时想给大家聊的是解决方案中的第三个，如果读者朋友们需要对接三方清洗，欢迎私信或微信咨询，我将通过个人经验与三方清洗特性推荐给各位读者适合自己的三方产品，以及部分价格优惠和返利。

5、三方抗D清洗选型需要注意的参数

在此列举一些选型的重要参数供大家参考：

支持的QPS

支持的业务带宽

能接入的域名数量（主域名+子域名分开计算）

防御峰值

清洗最大量级

清洗服务器性能

机房线路

性价比

这些参数需要根据实际情况做出对比，比如阿里云的高防IP最低档QPS为3000，如果业务平时的QPS大于3000，那就不能使用阿里云的高防IP，再比如有些价格低廉的三方清洗，清洗机房采用的是单一运营商线路，有可能对实时要求比较高的业务系统有很严重的影响，那么这类业务系统就需要用到BGP线路的清洗机房。

最后是一定要跟高层强调性价比与投入产出比，高层往往会在投入产出比合适的前提下选择性价比最高的三方，综合所有参数与价格做出最终的方案。