就目前防御DDoS的方式來(lái)說，主要是兩個(gè)方面，小流量攻擊可以在企業(yè)本地進(jìn)行設(shè)備防護(hù)，大流量攻擊可以交給運(yùn)營(yíng)商及云端清洗。這個(gè)分界點(diǎn)根據(jù)行業(yè)及業(yè)務(wù)特性的不同會(huì)有所差異，大概的量級(jí)應(yīng)該在百兆BPS左右。

我們知道DDoS攻擊是通過各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)CPU、內(nèi)存、連接數(shù)等資源，直接造成網(wǎng)絡(luò)帶寬耗盡或系統(tǒng)資源耗盡，使得該目標(biāo)系統(tǒng)無(wú)法為正常用戶提供業(yè)務(wù)服務(wù)，從而導(dǎo)致拒絕服務(wù)。異常流量清洗方式主要有三種：

?

首先是本地DDoS防護(hù)設(shè)備。一般惡意組織發(fā)起DDoS攻擊時(shí)，率先感知并起作用的一般為本地?cái)?shù)據(jù)中心內(nèi)的DDoS防護(hù)設(shè)備，一般分為DDoS檢測(cè)設(shè)備、清洗設(shè)備和管理中心。DDoS檢測(cè)設(shè)備日常通過流量基線自學(xué)習(xí)方式，按各種和防御有關(guān)的維度進(jìn)行統(tǒng)計(jì)，形成流量模型基線，從而生成防御閾值。學(xué)習(xí)結(jié)束后繼續(xù)按基線學(xué)習(xí)的維度做流量統(tǒng)計(jì)，并將每一秒鐘的統(tǒng)計(jì)結(jié)果和防御閾值進(jìn)行比較，超過則認(rèn)為有異常，通告管理中心。由管理中心下發(fā)引流策略到清洗設(shè)備，啟動(dòng)引流清洗。

異常流量清洗通過特征、基線、回復(fù)確認(rèn)等各種方式對(duì)攻擊流量進(jìn)行識(shí)別、清洗。經(jīng)過異常流量清洗之后，為防止流量再次引流至DDoS清洗設(shè)備，可通過在出口設(shè)備回注接口上使用策略路由強(qiáng)制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)，訪問目標(biāo)系統(tǒng)。

其次是運(yùn)營(yíng)商清洗服務(wù)。當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDoS清洗設(shè)備性能不足以防御DDoS流量攻擊時(shí)，需要通過運(yùn)營(yíng)商清洗服務(wù)或借助運(yùn)營(yíng)商臨時(shí)增加帶寬來(lái)完成攻擊流量的清洗。運(yùn)營(yíng)商通過各級(jí)DDoS防護(hù)設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDoS攻擊行為。實(shí)踐證明，運(yùn)營(yíng)商清洗服務(wù)在應(yīng)對(duì)流量型DDoS攻擊時(shí)較為有效。

?

最后是云清洗服務(wù)。當(dāng)運(yùn)營(yíng)商DDoS流量清洗不能實(shí)現(xiàn)既定效果的情況下，可以考慮緊急啟用運(yùn)營(yíng)商云清洗服務(wù)來(lái)進(jìn)行最后的對(duì)決。依托運(yùn)營(yíng)商骨干網(wǎng)分布式部署的異常流量清洗中心，實(shí)現(xiàn)分布式近源清洗技術(shù)，在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉，提升攻擊對(duì)抗能力。具備適用場(chǎng)景的可以考慮利用CNAME或域名方式，將源站解析到安全廠商云端域名，實(shí)現(xiàn)引流、清洗、回注，提升抗D能力。進(jìn)行這類清洗需要較大的流量路徑改動(dòng)，牽涉面較大，一般不建議作為日常常規(guī)防御手段。

以上三種防御方式存在共同的缺點(diǎn)，由于本地防御DDoS設(shè)備及運(yùn)營(yíng)商均不具備HTTPS加密流量解碼能力，導(dǎo)致針對(duì)HTTPS流量的防護(hù)能力有限；同時(shí)由于運(yùn)營(yíng)商清洗服務(wù)多是基于Flow的方式檢測(cè)DDoS攻擊，且策略的顆粒度往往較粗，因此針對(duì)CC或HTTP慢速等應(yīng)用層特征的DDoS攻擊類型檢測(cè)效果往往不夠理想。

目前網(wǎng)絡(luò)安全界應(yīng)對(duì)大規(guī)模攻擊最有效的防御DDoS措施就是分布式集群防御。它的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址，并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊。如果一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更深層次的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

對(duì)比以上四種防御DDoS方式，發(fā)現(xiàn)單一解決方案不能完成所有DDoS攻擊清洗，因?yàn)榇蠖鄶?shù)真正的DDoS攻擊都是“混合”攻擊（摻雜各種不同的攻擊類型），所以DDoS防護(hù)也要采取綜合的手段來(lái)應(yīng)對(duì)這種“混合”攻擊。

本文來(lái)自：https://www.zhuanqq.com/News/Industry/345.html