文章插图
2021年9月10日上午,在亚马逊云科技中国峰会北京站上,百度安全技术总监冯景辉以《四两拨千斤——大流量时代如何以最小成本防御流量攻击》为题展开了精彩的演说,从流量攻击技术的昨天、今天和明天,到如何以架构优化提高防御能力,以小成本构建基础防御能力,与怎么利用云SaaS服务来实现更灵活的混合架构防御等多维度,精妙剖析了当下DDoS防护中的众多痛点与解决之道 。
在过去二十一年的时间里,百度与中国互联网共同成长茁壮,百度安全也经历了各种网络威胁的历练,基于这些攻防博弈中的提炼总结,得出网络流量攻击的趋势和发展 。发现近年来,网络攻击的峰值带宽规模以每年平均20%的增速不断的创造新高,除去网络基础设施的扩容外,在于黑客掌握的资源越来越多,诸多可反射的服务、不安全的IOT设备、高风险的移动APP等新的技术与新的设备被用于DDoS攻击,据AWS在2020Q1威胁态势报告披露,最高的一次攻击流量达到2300Gbps 。同时,在百度安全和中国联通联合发布的《2020年DDoS攻击态势报告》中,去年累计监测到DDoS攻击达到63万次,是前年的近1.75倍,其中小于5Gbps峰值的攻击占比超过60%,100Gbps以上的大流量攻击事件16029次,日均达44次,且每次攻击持续时间长短不一,根据《报告》统计攻击持续时间小于2分钟的超过30% 。可以发现,攻击者为寻求攻击成本和攻击效果之间的平衡,开始采用间歇式的攻击方式 。
而分布式拒绝服务攻击在技术上可以分为两类,一类是通过海量发包来拥塞网络出口或者托管服务器的系统资源的流量型攻击 DDoS,包括各种各样的反射性攻击 。以及通过应用层信息攻击来消耗内存资源的连接或内容攻击 CC,借由控制大量的僵尸网络,它专门请求那些特别消耗资源的数据库接口、登录接口、加密接口来实施,如Synflood攻击,仅需1Mbps的流量就足以打垮一般的服务器 。当攻击者伪造源IP向目标服务器发出syn包请求,在目标服务器响应后,等待第三次握手,但这种情况下是等不到的,导致占用半连接队列的资源,而目标服务器的半连接资源是有限的,很容易就被打超,致使服务瘫痪 。除此之外,反射攻击也已经成为主流的攻击方式,其中常见的反射攻击类型已经超过50种,经百度安全智云盾首次监控、分析并预警的新型反射攻击便有13种之多 。
如何通过小成本去搭建高收益的防御方案,去应对上述的攻防态势变化与新型攻击手段?首先,在传统IDC网络侧DDoS防御点中,根据一些典型特征,采取对症下药的策略,如在Linux服务内核开启Syn Cookie或进行防火墙的调试,使Syn flood攻击会被cookie校验或让防火墙做针对性拦截来提升防御效果,但这些仰赖于长期对抗下所累积的经验 。所以,另一方面,从DDoS攻击缓解的角度,我们认为在对抗过程中,如果在自身源站系统建设具有足够的健壮性,能极大地提升防御效果:在业务资源策略上,资源基于业务隔离,包括动静分离、前/后端API分离,并评估和掌握当前业务及对应的服务器、网络带宽、数据库、性能吞吐等的承载性能,与准备必要的资源冗余;在安全策略上,设置合理有效的安全组策略与做好必要的加固、及时更新系统补丁、进行日志存储与分析,并为源站建立源IP限速的策略 ,与建立应急自动/手工阻断黑IP的策略;在进阶策略上,做好DDoS攻击应急方案,如系统弹性扩容、服务降级、关键业务加入人机识别、关键业务静态维护页面等, 并接入专业的第三方防攻击平台,做好业务防御预配置和演练 。
以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!
「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助:- html5零基础入门教程 html技术的特点和功能
- linux基础知识总结 linux编程基础
- 通信基础知识入门 移动通信系统的组成
- 零基础学计算机入门自学教程 五大常用办公软件有哪些
- linux基础入门知识 linux基础培训文档
- 线下剧本杀入门基础知识小白必看 剧本杀怎么玩
- matlab特殊符号大全 有限单元法基础及matlab编程答案
- 含教学视频 羽毛球的基础教学
- 零基础web安全入门 web渗透教程
- java入门基础知识 java算法题面试