下载掌阅APP,畅读海量书库
立即打开
在了解了DDoS攻击的危害以及成因后,我们还需要了解它的类型以及每种类型的特点。这样,我们才能针对不同类型的攻击,采取有效的防御手段。对DDoS攻击的防御是一个系统工程,在这个系统中,会涉及安全产品、安全服务、专家支持、威胁情报等,单一的防御手段往往很难在最大程度上消解它的威胁。
本节会从两个维度(攻击类型和防御手段)进行简要介绍,在后面的章节中,会针对每种攻击进行更详细地介绍。
DDoS的攻击类型五花八门,我更倾向按照TCP/IP协议栈对DDoS攻击进行划分,如表2-1所示。
表2-1 根据TCP/IP协议栈分类的攻击类型
除了按照TCP/IP协议栈分类,还可以根据攻击对象进行分类,例如针对网络带宽资源的攻击、针对系统资源的攻击、针对应用资源的攻击,如表2-2所示。
表2-2 根据攻击对象分类的攻击类型
DDoS攻击的目的是用各种方式耗尽支撑攻击目标正常运行的各种资源,包括网络带宽资源、CPU资源、TCP连接资源等。所以,最简单和最直接的防御方法就是增加带宽,升级服务器,采用更高配置的服务器,例如把原先1C、2GB的服务器升级到4C、8GB。但是,这种方法有很大局限性,一旦攻击量变大,就很难抵抗了。
如图2-9所示,DDoS攻击主要来自互联网,因此,在互联网接入位置部署安全设备可以有效地抵御一定规模的DDoS攻击。但是,如果攻击流量超过互联网接入的带宽容量,那这种防御方式就会失效。
如图2-10所示,把攻击流量先牵引到清洗中心或者高防数据中心,进行清洗之后,再把清洗后的流量回注到目标服务器,这种方式可以非常有效地抵御大规模的DDoS攻击,例如超过200GB以上的攻击流量。
图2-9 本地部署安全设备进行防护
图2-10 利用清洗中心进行防护
对于静态的Web资源,例如静态页面、PDF文件等,可以考虑利用CDN服务。由于CDN服务有分布式、高速缓存的特性,可以很好地抵御针对Web服务器的DDoS攻击。
中国电信和绿盟科技共同发布的“2018 DDoS攻击态势报告”中提到,“2018年,DDoS攻击的次数明显下降,得益于对反射攻击有效的治理。2018年以来,国家相关单位组织各省分中心,联合各地运营商、云服务商等对我国境内的攻击资源进行了专项治理,包括使用虚假源地址治理以及对反射攻击源进行通告等手段。通过治理,有效减少了反射攻击的成功率,迫使攻击者转向其他攻击手段。从数据来看,2018年反射攻击减少了80%,而非反射攻击增加了73%,反射攻击仅占DDoS攻击次数的3%。”网络治理对于防御DDoS攻击是非常重要的,但这更多需要国家监管层面关注,单个企业能做的事情非常有限。