我们要想有效的防护DDoS攻击,首先要了解不同的DDoS攻击所针对的不同网络组件和协议。
攻击分类及应对基于不同的层级,攻击可以分为三类:
应用层攻击:对第七层也就是应用层的攻击,这种攻击的目的是耗尽目标的应用资源。比如、验证码等技术来识别可疑或者无法识别的源实体。
协议攻击:通常通过消耗服务器、防火墙或者负载均衡设备之类的中间资源,使网络三层或者四层的协议的新建数、可连接数、可用状态表等达到极限,导致拒绝服务。这种攻击一般需要在恶意流量未到达站点之前就对其进行阻断,因为此类DDoS攻击就是想建立连接,并长时间占用连接。可以利用访问者识别技术将合法的访问者和恶意的客户端分开,从而缓解此类攻击。Volumetric攻击:此类攻击近几年经常出现,也应该是提问者提到的Tb级别的攻击类型。它通常消耗目标与Internet之间的所有带宽来造成访问的阻塞。通过放大流量的形式,将大量的恶意数据发送给攻击目标。这种攻击一般需要专业的DDoS防护厂商(Arbor,Cloudflare和Akamai等),利用分布在全球的清理中心对洪水般的攻击流量进行吸收清理,极端情况下直接引入黑洞路由之类的设施进行全量丢弃。防护的整体策略公司安全解决方案就是采用多级保护的策略,包括专业的异常流量管理系统,结合防火墙、内容过滤、负载均衡和其他的DDoS防御技术,共同配合来缓解DDoS攻击的影响。
对于Tb级的DDoS攻击,我们最明智的选择是借助专业的云服务DDoS防护商。因为:1. 一般企业没有必要花费大量的资金来组建一套Tb级的防御工事;2. 我们借助于专业厂商,可以依据DDoS事件的资源使用量来付费;3. 他们的重要工作就是监视全球的最新DDoS动态,应急响应更有的放矢。而对于我们,这样可以方便在安全性和灵活性之间找到一个属于自己公司的平衡点。
比如GitHub在2018年遭受的Memcached服务器DDoS攻击,从上图可以看到其峰值达到了1.35Tbps。GitHub的防御系统面对突发的Tb级的攻击,仅仅坚持了10分钟,就顶不住了。他们找来了Akamai托管了所有访问GitHub的流量,利用后者的数据清理中心对恶意流量进行清理。8分钟后,攻击未果,于是攻击者才就此作罢。
当然云服务DDoS防护商也是按照回答开头所说的,根据不同的攻击类型进行不同的防御,只是相比于公司,其拥有更大的带宽和资源。
新的趋势随着大数据和5G时代的到来,据报道将有千亿级的物联网设备会逐步联网。所以,现在DDoS攻击呈现出一种新的发展趋势:loT设备的僵尸网络。比如比较火的Mirai及其各种变种、Torii亦或是劫持Hadoop集群的DemonBot。我们必须对此重点关注。
以上,希望对您有所帮助,也欢迎大家一起交流。
