下 DDoS 攻击与防御：从原理到实践( 二 ) _DDoS

}
接入 CDN 高防 IP 或公有云智能 DDoS 防御系统由于 cdn 高防 ip 和公有云智能 DDoS 防御原理比较相近，都是利用代理或者 DNS 调度的方式进行 “引流->清洗->回注” 的防御流程，因此将两者合并介绍。
CDN 高防 IP
是针对互联网服务器在遭受大流量的 DDoS 攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防 IP，将攻击流量引流到高防 IP，确保源站的稳定可靠，通常可以提供高达几百 Gbps 的防护容量，抵御一般的 DDoS 攻击绰绰有余。
公有云智能 DDoS 防御系统
如下图，主要由以下几个角色组成：

文章插图

调度系统：在 DDoS 分布式防御系统中起着智能域名解析、网络监控、流量调度等作用。
源站：开发商业务服务器。
攻击防护点：主要作用是过滤攻击流量，并将正常流量转发到源站。
后端机房：在 DDoS 分布式防御系统中会与攻击防护点配合起来，以起到超大流量的防护作用，提供双重防护的能力。
一般 CDN 或者公有云都有提供邮件、web 系统、微信公众号等形式的申请、配置流程，基本上按照下面的思路操作即可：

文章插图

步骤主要有：
1. 向公有云 or CDN 厂商申请接入高防 IP 或者 DDoS 清洗系统，同时提交站点域名原解析记录
2. 修改站点域名解析记录指向公有云 or CDN 厂商提供的 ip
3. 公有云 or CDN 厂商清洗 DDoS 攻击流量，将清洗过后的正常流量回送到站点域名原解析记录的 ip
公有云 DDoS 防护服务介绍
目前大部分公有云厂商都把 DDoS 防护列入服务清单，但由于技术、资源、管理等方面的区别，存在着以下不同点：
1. 计费模式不同：有的将 DDoS 防护作为附赠服务，有的将 DDoS 防护收费，而且不同厂商的收费价格或者收费起点都不同。
2. 业务场景不同：有的公有云厂商会区分客户业务场景，比如直播、金融、游戏之类，但大部分厂商并不会区分这么细。
3. 功能丰富度不同：公有云 DDoS 防护服务提供给用户自定义的东西多少，依赖于产品成熟度。
4. 清洗能力不同：DDoS 清洗流量规模因厂家差异从几十 Gbps 到几百 Gbps，使用的防御技术成熟度和效果也各有差异，比如有的 cc 攻击防御效果立杆见影，有的则非常一般。
网易云 DDoS 防护服务介绍
网易云为用户提供 5Gbps 以下的免费异常流量清洗，超过 5Gbps 以上会根据攻击规模和资源情况确定是否继续清洗，目前暂未对此服务收费。目前网易云提供的 DDoS 防护功能有：
【下 DDoS 攻击与防御：从原理到实践】1. DDoS 攻击流量监控、统计与报警
2. DDoS 清洗策略用户自定义，主要有流量大小、包数以及请求数等三个维度
DDoS 攻击处理技巧荟萃1. 发现Rsyslog
流量监控报警
查看 /var/log/messages（freebsd），/var/log/syslog（debian），是否有被攻击的信息：
*SYN Flood**RST
limit xxx to xxx**
listen queue limit*
查看系统或者应用连接情况，特别是连接数与系统资源占用情况
netstat -antp | grep -i ‘业务端口’ | wc -l
sar -n DEV
2. 攻击类型分析2.1 Tcpdump+wireshark
使用 tcpdump 实时抓包给 wireshark 进行解析，有了 wireshark 实现自动解析和可视化展示，处理效率非一般快。
Tcpdump -i eth0 -w test.pcap
比如通过目标端口和特殊标记识别 ssdp flood：
udp.dstport == 1900
(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)

文章插图

2.2 高效的 DDoS 攻击探测与分析工具 FastNetMon
也可以使用 FastNetMon 进行实时流量探测和分析，直接在命令行展示结果，但是如果攻击流量很大，多半是派不上用场了。

文章插图

2.3 攻击溯源
linux 服务器上开启 uRPF 反向路径转发协议，可以有效识别虚假源 ip，将虚假源 ip 流量抛弃。另外，使用 unicast 稀释攻击流量，因为 unicast 的特点是源-目的=1:n，但消息只会发往离源最近的节点，所以可以把攻击引导到某个节点，确保其他节点业务可用。

文章插图

企业级 DDoS 清洗系统架构探讨自研使用镜像/分光（采集）+sflow/netflow（分析）+DDoS 清洗设备（清洗）三位一体的架构是目前很多企业采用的防 D 架构，但是一般只适用于有自己机房或者在 IDC 业务规模比较大的企业。如下图所示，在 IDC 或者自建机房出口下通过镜像/分光采集流量，集中到异常流量监测系统中进行分析，一旦发现异常流量，则与 DDoS 清洗设备进行联动，下发清洗规则和路由规则进行清洗。