網(wǎng)絡(luò)所及之處，都有網(wǎng)絡(luò)攻擊。

業(yè)內(nèi)有一種說法，都說DDoS攻擊是無解的。真的是這樣的嗎？

面對棘手的 DDoS 攻擊，目前業(yè)內(nèi)有哪些防御手段？各種防御手段的特點是什么？如何進(jìn)行選擇與搭配？

本期，藍(lán)隊云將圍繞這三個問題，為您詳細(xì)介紹應(yīng)對 DDoS 攻擊的三種典型防御手段，分別是黑洞路由、高級防護(hù)和近源清洗。

1、黑洞路由

首先我們來介紹第一種防御手段——黑洞路由。顧名思義，就是當(dāng) DDoS 攻擊發(fā)生后，為了防止影響進(jìn)一步擴大，客戶網(wǎng)絡(luò)向運營商網(wǎng)絡(luò)通告一條關(guān)于受攻擊服務(wù)器 IP 的黑洞路由，運營商網(wǎng)絡(luò)收到黑洞路由后，隨之停止對外通告關(guān)于該 IP 的路由，這時受攻擊的 IP 地址便像從互聯(lián)網(wǎng)中消失了一般，無法再被任何主機訪問到——相當(dāng)于在互聯(lián)網(wǎng)上制造了一個路由的“黑洞”。

為了方便您更好地理解，筆者為您舉個例子。如下圖所示，客戶網(wǎng)絡(luò)中有 A、B、C、D 四臺服務(wù)器，共用某運營商提供的互聯(lián)網(wǎng)接入服務(wù)。突然，服務(wù)器 A 受到了來自互聯(lián)網(wǎng)的 DDoS 攻擊，服務(wù)器 A 很快就因為負(fù)載過重而癱瘓，無法對外提供服務(wù)了。更要命的是，由于攻擊流量持續(xù)洶涌而至，客戶網(wǎng)絡(luò)上連的互聯(lián)網(wǎng)出口也出現(xiàn)了嚴(yán)重的流量擁塞，這使得未被攻擊的服務(wù)器 B、C 和 D 也無法正常對外提供服務(wù)。

圖片：DDoS 攻擊示意圖

就在這千鈞一發(fā)之際，客戶網(wǎng)絡(luò)對上游運營商“大吼”一聲：“服務(wù)器 A 已死！”。運營商收到消息后，也隨之互聯(lián)網(wǎng)的四面八方“叫道”：“服務(wù)器 A 已死，別再通過我找他了！”。于是，一傳十，十傳百，整個互聯(lián)網(wǎng)中都傳遍了服務(wù)器 A 的死訊。 

就這樣，互聯(lián)網(wǎng)上所有的主機，包括“肉機”和正常電腦，均找不到服務(wù)器 A 了，DDoS 攻擊流量和正常流量在互聯(lián)網(wǎng)的邊緣便被丟棄，網(wǎng)絡(luò)擁塞的情況也隨之解除，正如下圖所示。

圖片：黑洞路由的工作原理示意圖

這就是黑洞路由的工作原理。細(xì)心的讀者可能會發(fā)現(xiàn)，黑洞路由的副作用非常大，因為正常流量也受到了影響。因此，用黑洞路由防御 DDoS 攻擊的本質(zhì)是“棄車保帥”，通過犧牲被攻擊的服務(wù)器，解除網(wǎng)絡(luò)擁塞，來保全客戶網(wǎng)絡(luò)。

2、高級防護(hù)

黑洞路由雖然有效制止的 DDoS 攻擊，但畢竟有著不小的副作用。有沒有副作用小一些防御方式呢？答案是高級防護(hù)。

如下圖所示，高級防護(hù)需要通過清洗中心來實現(xiàn)。它的工作原理是這樣的：首先，清洗中心與互聯(lián)網(wǎng)通過超大帶寬相連接，可以承諾大流量的 DDoS 攻擊；其次，清洗中心部署了流量分析和過濾的設(shè)備，能對將攻擊流量和正常流量分辨出來，并過濾攻擊流量；再者，清洗中心類似中介，它會向互聯(lián)網(wǎng)通告客戶網(wǎng)絡(luò)的路由，將訪問客戶網(wǎng)絡(luò)的流量引到自己身上。如此一來，當(dāng)發(fā)生 DDoS 攻擊時，清洗中心便能利用強大的帶寬容量以及流量分析過濾能力“扛住”攻擊，只將正常的訪問請求發(fā)送給服務(wù)器 A，進(jìn)而既保護(hù)了服務(wù)器 A，又保護(hù)了整個客戶網(wǎng)絡(luò)。

通俗地講，清洗中心就像是客戶網(wǎng)絡(luò)的保鏢兼經(jīng)紀(jì)人，所有需要訪問客戶網(wǎng)絡(luò)的流量均需要經(jīng)過保鏢，武藝高強的保鏢能為客戶擋住所有的不速之客，而只給好人放行。

圖片：高級防護(hù)的工作原理示意圖

用高級防護(hù)對抗 DDoS 攻擊的本質(zhì)是“用資源換安全”，通過大帶寬的網(wǎng)絡(luò)和高性能的流量分析過濾系統(tǒng)，“硬扛”DDoS 攻擊。此外，高級防護(hù)加長了流量的路徑，引入了清洗中心，這會在一定程度上增加業(yè)務(wù)的時延，可能會影響用戶的訪問體驗。

3、近源清洗

高級防護(hù)雖然能有效地保護(hù)被攻擊的服務(wù)器以及客戶網(wǎng)絡(luò)，但那畢竟是以消耗帶寬資源和算力資源為代價的。有沒有更加智能而節(jié)省資源的方式呢？答案是近源清洗。

如下圖所示，近源清洗由清洗調(diào)度中心和運營商的邊緣網(wǎng)絡(luò)協(xié)同實現(xiàn)。它的工作原理是這樣的：清洗調(diào)度中心會對互聯(lián)網(wǎng)中的流量進(jìn)行實時監(jiān)測分析，一旦發(fā)現(xiàn) DDoS 攻擊流量，便將其引導(dǎo)到就近的邊緣節(jié)點進(jìn)行分布式的清洗，從源頭上壓制 DDoS 攻擊，達(dá)到“四兩拔千金”的效果。

圖片：近源清洗的工作原理示意圖

需要指出的是，近源清洗需要“云邊協(xié)同”才能實現(xiàn)，即不僅要有對流量的分析能力，還需要能調(diào)度邊緣的網(wǎng)絡(luò)設(shè)備對流量進(jìn)行過濾，因此近源清洗是運營商獨特的優(yōu)勢。也正因此，它的作用范圍僅限于運營商的互聯(lián)網(wǎng)的自治域內(nèi)——因為一家運營商無法調(diào)度另一家運營商的網(wǎng)絡(luò)設(shè)備。

目前，國內(nèi)三大運營商都推出的各自的近源清洗產(chǎn)品，分別是中國電信的云堤，中國聯(lián)通的云盾，以及中國移動的和盾。

黑洞路由、高級防護(hù)和近源清洗是目前業(yè)內(nèi)三種防御 DDoS 攻擊的有效手段， 由于性能效果、適用場景和產(chǎn)品資費不盡相同，客戶可根據(jù)需要選擇性地搭配使用。

為了方便查閱，藍(lán)隊云制作了以下表格，列舉了各種 DDoS 防御手段的特點。

表格：三種防御 DDoS 攻擊手段的對比

藍(lán)隊云是專業(yè)的云計算及網(wǎng)絡(luò)網(wǎng)絡(luò)安全服務(wù)商，成立至今已經(jīng)15年，始終致力于為政府、企事業(yè)單位提供穩(wěn)定、安全、可靠、高性價比的云計算服務(wù)及全方位深度定制的網(wǎng)絡(luò)安全服務(wù)。藍(lán)隊云提供漏洞掃描、風(fēng)險評估、攻防演練、滲透測試、應(yīng)急響應(yīng)、安全運維、等保合規(guī)、商用密碼合規(guī)等專業(yè)的網(wǎng)絡(luò)安全及服務(wù)，歡迎大家咨詢了解。