由于DDoS攻擊越來越頻繁，如何對(duì)抗DDoS攻擊成為不少企業(yè)的難題。直播平臺(tái)，視頻網(wǎng)站，電商，金融網(wǎng)站等競爭性網(wǎng)站更是苦于應(yīng)付。

 

 

x86君與多名行業(yè)客戶[這些客戶業(yè)務(wù)基本上都是出于發(fā)展期或爆發(fā)期]交流后發(fā)現(xiàn)，大部分用戶遭受DDoS攻擊時(shí)往往發(fā)現(xiàn)他們所采用的DDoS攻擊防護(hù)服務(wù)商都可以清洗3-4層Volume(流量型) DDoS攻擊，但是在防護(hù)具有針對(duì)性的Volume或Application型DDoS攻擊卻毫沒有特別有效的方案。

其原因在于DDoS攻擊防護(hù)服務(wù)商無法非常了解用戶業(yè)務(wù)特性或?qū)︶槍?duì)性的DDoS攻擊采用了粗放式的防護(hù)方法(粗放式的防護(hù)算法對(duì)用戶正常的業(yè)務(wù)流量誤殺率極高)。

例如目前大部分DDoS攻擊防護(hù)服務(wù)商針對(duì)UDP協(xié)議或ICMP協(xié)議或者私有協(xié)議的DDoS攻擊防護(hù)采用閾值觸發(fā)方式對(duì)這類觸發(fā)閾值的流量進(jìn)行直接攔截。

還有一種針對(duì)UDP或ICMP協(xié)議或私有協(xié)議的DDoS攻擊防護(hù)算法，那就是TCP反向源認(rèn)證。

 

 

采用TCP反向源認(rèn)證的UDP防護(hù)算法

采用TCP反向源認(rèn)證的DDoS防護(hù)算法防護(hù)UDP協(xié)議的攻擊可能會(huì)讓部分不支持TCP協(xié)議的客戶端被誤殺，并且會(huì)導(dǎo)致反彈認(rèn)證的流量過高，通常會(huì)高達(dá)8倍，這也會(huì)讓大部分DDoS攻擊防護(hù)服務(wù)商無法支撐巨額的上行帶寬費(fèi)用!(10Gbps的純64字節(jié)小包攻擊，會(huì)導(dǎo)致防火墻反彈80Gbps的TCP報(bào)文)

這里杉堤(SeedMssP)采用了較為先進(jìn)Machine learning(機(jī)器學(xué)習(xí))方式對(duì)UDP和ICMP或私有協(xié)議流量進(jìn)行學(xué)習(xí)并防護(hù)，能夠較為有效的防護(hù)UDP和ICMP以及私有協(xié)議的DDoS攻擊，并能夠保障對(duì)用戶正常流量誤殺率始終處于最低水平(誤殺率平均在5%左右)。

回到話題，抓包分析報(bào)文來防護(hù)DDoS攻擊對(duì)大型IT企業(yè)(例如BAT這類規(guī)模的)來說非常有效，因?yàn)榇笮虸T企業(yè)往往都配備超高性能的路由器，和超高性能的防火墻。

那如果我的企業(yè)是個(gè)初創(chuàng)型的IT企業(yè)怎么辦?我買不起數(shù)十萬數(shù)百萬元的路由器和高性能防火墻，那我該如何防護(hù)這類具有針對(duì)性的DDoS攻擊呢?

很簡單，首先你要有個(gè)抓包工具，當(dāng)你遭受此類DDoS攻擊的時(shí)候，你可以使用TCPDUMP或Wireshark來抓取當(dāng)前設(shè)備的網(wǎng)絡(luò)報(bào)文。

然后將抓取的報(bào)文利用報(bào)文分析工具分析，例如使用Wireshark。

下面x86君簡單介紹下，如果攻擊者采用大量的肉雞攻擊一個(gè)網(wǎng)站，攻擊使用一個(gè)固定的URI參數(shù)，且這個(gè)URI參數(shù)對(duì)正常訪客來說并無用處的情況下的DDoS攻擊防護(hù)方法。

首先黑客攻擊了 http://123.1.1.2/test.php?mynameis=ddos

 

 

那么我們?cè)诒还�擊�?a href="http://hl5o.cn/fuwuqi/" title="服務(wù)器" target="_blank">服務(wù)器內(nèi)使用抓包工具抓取一定數(shù)量的報(bào)文，然后利用Wireshark對(duì)這組報(bào)文進(jìn)行分析。

 

 

我們可以看到報(bào)文內(nèi)有一組GET /test.php?mynameis=ddos的字符。那么我們只需要提取mynameis=ddos這組URI參數(shù)作為特征。

如果你使用Nginx作為Web Server，那么你可以在Nginx的配置文件中加入如下參數(shù)即可防護(hù)：

if ($args ~* "mynameis=ddos") {

return 444;

}

但是，如果攻擊請(qǐng)求每秒高達(dá)數(shù)萬次或數(shù)千萬次的情況下，Nginx可能就頂不住了，或許你需要把DDoS攻擊流量在進(jìn)入你服務(wù)器之前攔截掉。

此時(shí)x86君建議客官試一試SeedMssP獨(dú)有的V-ADS細(xì)粒度清洗模型了。

 

 

V-ADS虛擬防火墻(細(xì)粒度清洗部分)

V-ADS虛擬防火墻能夠?yàn)榭凸偬峁﹫?bào)文級(jí)別的DDoS攻擊防護(hù)，客官可以自行定義DDoS攻擊的防護(hù)特征模型，而V-ADS會(huì)根據(jù)客戶提供的報(bào)文指紋特征以及頻率或相關(guān)模型行為對(duì)符合特征的報(bào)文進(jìn)行攔截，放行，限速。

剛才的DDoS攻擊黑客采用了mynameis=ddos的uri參數(shù)對(duì)Web服務(wù)器發(fā)起DDoS攻擊，此時(shí)用戶可以通過開啟V-ADS的Http Flood防護(hù)模塊進(jìn)行一鍵防護(hù)，如果客官是個(gè)Geek，那么客官可以利用V-ADS的清洗粒度模型清洗此類DDoS攻擊。

mynameis=ddos的十六進(jìn)制是：6D796E616D6569733D64646F73

 

 

TCP報(bào)文的標(biāo)志位信息

TCP報(bào)文中的Flags是0x18，那么意味著TCP的標(biāo)志位就可以勾選PSH和ACK(勾選后將只對(duì)包含PSH和ACK標(biāo)志位的報(bào)文進(jìn)行匹配)，如果客官不勾選的話V-ADS會(huì)對(duì)所有報(bào)文進(jìn)行匹配。

那么客官可以在V-ADS清洗粒度模型中填寫如下內(nèi)容：

 

 

此時(shí)點(diǎn)擊保存后，再一次訪問 http://123.1.1.2/test.php?mynameis=ddos的時(shí)候，V-ADS就會(huì)立即攔截包含此特征的報(bào)文。

 

 

訪問被攔截掉了

訪問被攔截掉了如果客官您腦洞開的大，您還會(huì)可以利用這V-ADS的細(xì)粒度清洗模型來完全貼合您的業(yè)務(wù)特性，將誤殺率降低到最低甚至零誤殺!

比如”國民老公”的熊貓TV，如果被DDoS攻擊，在保證誤殺率的情況下秒級(jí)清洗，那么即使被攻擊對(duì)直播的順暢度，用戶的體驗(yàn)度來說是毫無負(fù)面影響的。

最后x86君要說下的是，V-ADS清洗是線速的喲~~~

PS:杉堤是一家專注于DDoS攻擊防護(hù)的云安全服務(wù)提供商，公司多年來致力于研發(fā)DDoS攻擊的追蹤和防護(hù)。杉堤以"專注業(yè)務(wù)，安全靠我"為愿景，持續(xù)創(chuàng)新，為客戶提供領(lǐng)先的云安全產(chǎn)品與解決方案。在良莠不齊的DDos防護(hù)市場中,杉堤值得您的青睞!www.SeedMssp.com