分布式拒絕服務(wù)攻擊(DDoS)是一種特殊形式的拒絕服務(wù)攻擊。它是利用多臺已經(jīng)被攻擊者所控制的機(jī)器對某一臺單機(jī)發(fā)起攻擊，在帶寬相對的情況下，被攻擊的主機(jī)很容易失去反應(yīng)能力。如何防范ddos攻擊？已經(jīng)成為現(xiàn)在一個(gè)重要的話題。來勢迅猛，而且往往令人難以防備，具有極大的破壞性。為什么游戲是DDoS攻擊重災(zāi)區(qū)?一起來了解下。

　　如何防范ddos攻擊？

　　1.及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。對一些特權(quán)賬號（例如管理員賬號）的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。

　　2.在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限，確保輸出的包受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。

　　3.利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來加固網(wǎng)絡(luò)的安全性，配置好這些設(shè)備的安全規(guī)則，過濾掉所有可能的偽造數(shù)據(jù)包。

　　4.與網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓網(wǎng)絡(luò)服務(wù)提供商幫助實(shí)現(xiàn)路由的訪問控制和對帶寬總量的限制。

　　5.當(dāng)用戶發(fā)現(xiàn)自己正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)啟動自己的應(yīng)付策略，盡可能快地追蹤攻擊包，并且及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋從已知攻擊節(jié)點(diǎn)的流量。

　　6.如果用戶是潛在的DDoS攻擊受害者，并且用戶發(fā)現(xiàn)自己的計(jì)算機(jī)被攻擊者用作主控端和代理端時(shí)，用戶不能因?yàn)樽约旱南到y(tǒng)暫時(shí)沒有受到損害而掉以輕心。攻擊者一旦發(fā)現(xiàn)用戶系統(tǒng)的漏洞，這對用戶的系統(tǒng)是一個(gè)很大的威脅。所以用戶只要發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時(shí)把它清除，以免留下后患。

　　那些年，DDoS的那些反擊滲透的事情。

　　DDoS攻擊與對策

　　DDo（Distributed Denial of Service），即分布式拒絕服務(wù)攻擊，是指黑客通過控制由多個(gè)肉雞或服務(wù)器組成的僵尸網(wǎng)絡(luò)，向目標(biāo)發(fā)送大量看似合法的請求，從而占用大量網(wǎng)絡(luò)資源使網(wǎng)絡(luò)癱瘓，阻止用戶對網(wǎng)絡(luò)資源的正常訪問。

　　從各安全廠商的DDoS分析報(bào)告不難看出，DDoS攻擊的規(guī)模及趨勢正在成倍增長。由于攻擊的成本不斷降低，技術(shù)門檻要求越來越低，攻擊工具的肆意傳播，互聯(lián)網(wǎng)上隨處可見成群的肉雞，使發(fā)動一起DDoS攻擊變得輕而易舉。

　　DDoS攻擊技術(shù)包括：常見的流量直接攻擊（如SYN/ACK/ICMP/UDP FLOOD），利用特定應(yīng)用或協(xié)議進(jìn)行反射型的流量攻擊（如，NTP/DNS/SSDP反射攻擊，2018年2月28日GitHub所遭受的Memcached反射攻擊），基于應(yīng)用的CC、慢速HTTP等。關(guān)于這些攻擊技術(shù)的原理及利用工具網(wǎng)上有大量的資源，不再贅述。

　　DDoS防御常規(guī)套路

　　防御DDoS的常規(guī)套路包括：本地設(shè)備清洗，運(yùn)營商清洗，云清洗。

　　1.本地設(shè)備清洗

　　抗DDoS設(shè)備（業(yè)內(nèi)習(xí)慣稱ADS設(shè)備）一般以盒子的形式部署在網(wǎng)絡(luò)出口處，可串聯(lián)也可旁路部署。旁路部署需要在發(fā)生攻擊時(shí)進(jìn)行流量牽引，其基本部署方案。

　　檢測設(shè)備對鏡像過來的流量進(jìn)行分析，檢測到DDoS攻擊后通知清洗設(shè)備，清洗設(shè)備通過BGP或OSPF協(xié)議將發(fā)往被攻擊目標(biāo)主機(jī)的流量牽引到清洗設(shè)備，然后將清洗后的干凈流量通過策略路由或者M(jìn)PLS LSP等方式回注到網(wǎng)絡(luò)中；當(dāng)檢測設(shè)備檢測到DDoS攻擊停止后，會通知清洗設(shè)備停止流量牽引。

　　將ADS設(shè)備部署在本地，企業(yè)用戶可依靠設(shè)備內(nèi)置的一些防御算法和模型有效抵擋一些小規(guī)模的常見流量攻擊，同時(shí)結(jié)合盒子提供的可定制化策略和服務(wù)，方便有一定經(jīng)驗(yàn)的企業(yè)用戶對攻擊報(bào)文進(jìn)行分析，定制針對性的防御策略。目前國內(nèi)市場上，主要以綠盟的黑洞為代表，具體可以訪問其官網(wǎng)進(jìn)一步了解。

　　本地清洗最大的問題是當(dāng)DDoS攻擊流量超出企業(yè)出口帶寬時(shí)，即使ADS設(shè)備處理性能夠，也無法解決這個(gè)問題。一般金融證券等企業(yè)用戶的出口帶寬可能在幾百兆到幾G，如果遇到十G以上甚至上百G的流量，就真的麻煩了，更別談T級別的DDoS攻擊了。

　　2.運(yùn)營商清洗

　　當(dāng)本地設(shè)備清洗解決不了流量超過出口帶寬的問題時(shí)，往往需要借助運(yùn)營商的能力了，緊急擴(kuò)容或者開啟清洗服務(wù)是一般做法，前提是要采購相應(yīng)的清洗服務(wù)，而且一般需要通過電話或郵件確認(rèn)，有的可能還要求傳真。

　　運(yùn)營商的清洗服務(wù)基本是根據(jù)netflow抽樣檢測網(wǎng)絡(luò)是否存在DDoS攻擊，而且策略的顆粒度較粗，因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想。再加上一些流程上的操作如電話、郵件、傳真等，真正攻擊到來時(shí)處理可能會更慢，需要重點(diǎn)關(guān)注。

　　值得一提的是中國電信的云堤服務(wù)，提供了“流量壓制”和“近源清洗”服務(wù)，而且還提供了自助平臺供用戶操作，查看流量、開啟清洗也非常方便。

　　3.云清洗

　　內(nèi)容分發(fā)網(wǎng)絡(luò)（Content Delivery Network，CDN）是指，通過在網(wǎng)絡(luò)各處放置節(jié)點(diǎn)服務(wù)器，讓用戶能夠在離自己最近的地方訪問服務(wù)，以此來提高訪問速度和服務(wù)質(zhì)量。CDN主要利用了四大關(guān)鍵技術(shù)：內(nèi)容路由，內(nèi)容分發(fā)，內(nèi)存存儲，內(nèi)容管理。更詳細(xì)的技術(shù)原理可以參考中國電信研究院出版的《CDN技術(shù)詳解》。

　　CDN技術(shù)的初衷是為了提高互聯(lián)網(wǎng)用戶對靜態(tài)網(wǎng)站的訪問速度，但是由于分布式、就近訪問的特點(diǎn)，能對攻擊流量進(jìn)行稀釋，因此，一些傳統(tǒng)CDN廠商除了提供云加速功能外，也開始推出云清洗的服務(wù)，當(dāng)然還有一些安全公司基于其自身優(yōu)勢進(jìn)入云清洗市場?；驹矶家粯樱枰仍谠贫伺渲煤孟鄳?yīng)的記錄，當(dāng)企業(yè)遭受大規(guī)模攻擊時(shí)，通過修改其DNS記錄將要保護(hù)的域名CNAME到云端事先配好的記錄上，等待DNS生效即可。

　　使用云清洗需要注意以下幾個(gè)問題：

　　1. 云清洗廠商需要提前配置好相應(yīng)記錄。DNS修改記錄后，需要等待TTL超時(shí)才生效。

　　2. 直接針對源IP的攻擊，無法使用云清洗防護(hù)，還要依靠本地和運(yùn)營商清冼。

　　3. 針對HTTPS網(wǎng)站的防御，還涉及HTTPS證書，由此帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)需要考慮，市面上也有相應(yīng)的Keyless方案{n1}。

　　由于國內(nèi)環(huán)境不支持Anycast技術(shù)，所以不再贅述，如果有海外分支機(jī)構(gòu)的網(wǎng)站需要防護(hù)，可以關(guān)注。

　　為什么游戲會是DDoS攻擊重災(zāi)區(qū)？

　　為什么游戲會是DDoS攻擊的重災(zāi)區(qū)呢?這里說幾點(diǎn)主要的原因。

　　首先是因?yàn)橛螒蛐袠I(yè)的攻擊成本低廉，是防護(hù)成本的1/N，攻防兩端極度不平衡。隨著攻擊方的打法越來越復(fù)雜、攻擊點(diǎn)越來越多，基本的靜態(tài)防護(hù)策略無法達(dá)到較好的效果，也就加劇了這種不平衡。

　　其次，游戲行業(yè)生命周期短。一款游戲從出生，到消亡，很多都是半年的時(shí)間，如果抗不過一次大的攻擊，很可能就死在半路上。黑客也是瞄中了這一點(diǎn)，認(rèn)定：只要發(fā)起攻擊，游戲公司一定會給“保護(hù)費(fèi)”。

　　再次，游戲行業(yè)對連續(xù)性的要求很高，需要7*24在線，因此如果受到DDoS攻擊，游戲業(yè)務(wù)很容易會造成大量的玩家流失。我曾經(jīng)見過在被攻擊的2-3天后，游戲公司的玩家數(shù)量，從幾萬人掉到幾百人。

　　最后，游戲公司之間的惡性競爭，也加劇了針對行業(yè)的DDoS攻擊。

　　如何防范ddos攻擊成為互聯(lián)網(wǎng)一個(gè)嚴(yán)重需要解決的問題，對于此類隱蔽性極好的DDoS攻擊的防范，更重要的是用戶要加強(qiáng)安全防范意識，提高網(wǎng)絡(luò)系統(tǒng)的安全性。為了不讓ddos攻擊危害到大家的網(wǎng)絡(luò)安全，一些重要措施要學(xué)會。