{"";"";"";"

DDOS

DDoS威胁的状态

互联网与每个人的工作和日常生活已经变得越来越密不可分。互联网在技术上承载了越来越多的关键业务流程，已经成为与需求侧改革相关的重要基础设施建设。DDoS攻击是互联网技术基础设施建设的关键威胁之一，甚至有可能造成一些重要业务流程的长期终止。网上已经有很多相关的例子，这里就不讨论了。
DDoS安全防护状况

DDoS攻击安全防护本质上是资源的抵抗。与病毒感染木马病毒、网站渗透、数据信息去数据库等无声的攻击方式不同，DDoS攻击受到的伤害更加生动。攻击者的总体目标是很好确立的，即根据大量的需求，攻击者的互联网会延迟，或者对外开放展示自己服务的服务器空会耗尽，导致服务器宕机。总之，驱使受害者的服务项目停止运行是他们的总目标。但是，很多时候，对于这种经济转型，攻击者无能为力，只能静静等待攻击结束。

DDoS安全保护架构

流行的DDoS安全保护架构如图1所示。DDoS防御系统一般由流量监控系统、智能流量监控系统和流量清洗系统软件组成。流量监控系统负责流量数据信息的实时采集；另一方面，智能监控系统可以根据收集的数据识别攻击并做出响应。实际的响应方法如图2所示。有些客户场景，由于生产调度的逻辑非常简单，很可能将智能监控系统的功能集成到流程监控系统中，成为监控系统中的一个子控制模块，但响应生产调度的功能是必须的。流量清洗系统软件工作职责的关键是对异常流量执行清洗姿态，并将清洗干净的干净流量送回互联网。

流量采集系统

在互联网的所有出入口部署DDoS流量监控系统。目前流行的流量采集方法有两种:netflow和分光计分离。Netflow协议最初由CISCO产品开发，在无线路由器上运行。它对具有特定端口号和特定方向的数据文件进行采样，并将统计数据推出以显示必要的分析。

此外，另一种流动收集方法是用分光器显影分光计，然后分离。根据这种方法，进出口贸易的流程得到了系统的反映。因为不是采样流量信息的内容，所以能表现出更深层次的安全防护。

两种流量采集方式都有好有坏。选用Netflow方法，基本建设全流镜像系统分析不需要额外投入资金，节省了开发、设计和运营成本。在流量采样能够满足需求的情况下，可以考虑这种方法。目前DDoS流量的统计分析方法是netlfow，这种方法在运营商中比较流行，抽样比例通常是几千比一。但是netflow是在无线路由器上运行的，无线路由器本身的流量是非常大的。开启netflow数据分析会消耗无线路由器的特性，加重无线路由器的压力，也增强了可靠性的风险。很多互联网技术厂商，包括你和腾讯官方，不仅要求DDoS安全防护，还按照双流量镜像系统的方法进行流量分析。
智能流量监控系统

智能流量监控系统的功能是对采集系统获得的流量数据信息进行分析，并做出相应的手势。当Vip受到攻击时，智能流量监控系统可以即时获取整体目标ip的流量数据信息，并根据整体目标ip的业务流程特征和受攻击流量的大小，实施不同的安全防护态势:

清洗:当被攻击IP地址的当前流量在清洗阈值和黑洞阈值之间时，清洗整个目标IP；

实施黑洞:当被攻击IP地址的当前流量超过黑洞水线时，对整体目标IP实施黑洞 *** 作；

流量调度:当黑洞实施后，被攻击ip详细地址的浏览立即被屏蔽。如果一些关键业务流程在上面 *** 作，会对业务流程的浏览造成危害。所以很有可能在黑洞实施之前，会做一些其他的实际 *** 作，比如先终止VIP地址的DNS解析，或者不实施黑洞，而是根据路由器的注销转移某个子网，将被攻击子网的产生调度到其他出入口量更大的主机房进行解决。

外部联动:清洁、黑洞、流水生产调度能力是大家自己呈现的安全防护能力。但是在某些情况下，出于基建成本的考虑，或者如果攻击流量确实超出了大家的解决方案，那么就需要通过一些外在的方式来抑制攻击流量，主要是利用运营商的工作能力。目前可用的方法有:电信云堤近源清理、云堤黑洞、联通近源清理、沃顿黑洞、联通BGPFlowSpec调用等。

根据该方法，基金会可以解决对业务流程的大流量DDoS攻击。自然，除了监控个别VIP的流量，还需要监控主机房的整体水位。当主机房出入口流量因DDoS攻击而明显增加，且发现水位异常时，为了保证主机房的可靠性，智能流量监控系统很可能对主机房顶攻击流量的IP地址或子网实施安全保护态势。

从工作职责来看，智能交通监控系统执行管理决策，承担更重要的工作职责。无论是流量采集系统、流量清洗系统软件，还是外云堤和沃顿的工作能力，都展现了攻击检测和攻击抑制的方式，最终如何处理都要由调度系统做出决策，统一生产调度。
流量清洗系统软件

流量清洗系统软件的功能主要是清洗故意DDoS攻击流量。流清系统软件必须完成三大功能，下面详细介绍:
流牵引带
流清
流回注
流牵引带

从图1中的安全保护架构可以看出，清洁系统软件通常被旁路部署。在旁路部署模式下，所有正常的业务流程都不经过清洗系统软件。只有当某个ip详细地址受到攻击时，按照更换路由器的方法，将被攻击的流量拖到清洗集群中，过滤攻击流量。
更换路由器有两种方式:静态路由或动态路由。因为静态路由非常简单，所以适用于中小型企业网络。被攻击时，可以通过将被攻击ip的下一跳路由地址改为清理集群的IP地址来完成。在许多情况下，必须应用动态路由。根据动态路由协议，如OSPF、BGP、IS-IS等。，32位系统列表路由器发布到互联网，这样被攻击IP地址的流量就可以被拖到清洗集群。
流量清洗

解决拖带问题，下一步就是清理攻击流量。目前流行DDoS安全防护来应对大流量攻击和CC攻击的攻击问题。CC攻击通常流量较小，很难超过智能监控系统设置的清洗阈值。在许多情况下，流量监控系统甚至无法检测到CC攻击。所以CC攻击通常是基于网络服务器或服务器代理的后端开发来进行安全防护。在大流量攻击中，现阶段比较常见的是SYNFlood攻击和反射攻击。针对DDoS攻击的安全保护思想将在另一篇文章中详细介绍。
流量回注

在详细介绍了流量牵引带技术后，可以成功地将流量牵引到清洗集群；根据集群的流量清洗优化算法，攻击流量已经被清洗干净；所以，接下来要做的就是把干净的流量送回互联网。由于被攻击的VIP的32位系统列表路由器在做流量拉带的时候就已经向无线路由器宣告了，所以不能按照清理集群返回路由的方法立即将干净的流量注入回互联网，会导致路由器环路出现。

目前流行的回注方式有地面回注、隧道施工回注和VRF回注。接地回注是指向互联网中下游发送回注流量。如下图所示，清洗集群将流量清洗后发送到工作交接机中下游，而存储在网络交换机中下游的被攻击VIP的路由器在图上偏向内网，这样就阻止了清洗流量再次发送到清洗管理中心，造成环路。目前电信云堤的近源清洗采用的就是这种回注理念。

隧道回注是向互联网中下游输送干净流量的另一种方式。如下图所示，清理集群和SW创建隧道构造，将去往被攻击IP的流量封装在内层，然后在隧道构造表层将整体目标IP地址设置为SW的IP，根据网络端口发送数据包。因为整体目标IP地址是SW，所以清理集群可以根据路由表将数据文件发送给无线路由器，无线路由器会将隧道构建报文格式顺利发送给SW。数据到达SW后，SW释放隧道构建包，去除内层的净流量，根据路由器立即将流量返回中下游网络服务器。

回注的另一种方法是在对端无线路由器建立VRF，隔离清洗路由器和回注路由器，根据不同的路由器服务平台区分路由器。清理机器上配备的路由器，并将干净的流量发送回对面的无线路由器。

经过上述整个过程，就完成了将攻击流量拖到清理集群进行清理，然后将干净流量发送到网络服务器的所有步骤。
DDoS安全防护的未来

由于DDoS安全防护是旁路部署架构，不能保证攻击的即时清理，只能保证分钟级或秒级响应。所以勤奋的一个方面就是如何减少从攻击开始到攻击流量进入安全防护的延迟时间。此外，随着IPv6互联网的全面部署和实施，详细地址的总数和类别与IPv4中的并不相同，因此如何快速检测每个IPv6总体目标的详细地址也是一个巨大的挑战。再次，攻击检查的范围可以更广，从单纯的流量阈值检测攻击，到流量成分的深度分析，如SYN包占用率、HTTPQPS占用率等，也可以作为开启攻击的标准。

新技术五花八门，发展迅速，物联网技术和5G互联网建设发展迅速。我可以断定，未来DDoS攻击将是一种持久、粗暴、合理的威胁方式，新的攻击方式也会出现。为包括DDoS在内的互联网攻击提供合理的安全防护，为业务流程提供服务保障，是所有安全工作人员义不容辞的责任。