DDoS攻击是目前网络攻击中最强大、最难防御的一种,它主要通过大量合法请求来获取大量网络资源,使得正常用户无法访问。DDoS在过去的二十年中一直是网络犯罪的一种重要工具,如今它的发展越来越强大,感染范围也越来越广。随着DDOS系统的不断“进化”,DDoS防护方式也在不断地发展演变。现在防御吧将与您分享这二十多年来DDoS防御系统的发展与发展。
1.内核优化时代。
早在DDoS防御时,并没有专业的防护清洗设备,当时的网络带宽也比较小,许多人是用56K的modem拨号上网,攻击者可以利用的带宽也相对较小,对于防御者而言,一般通过内核优化、iptables就能基本解决攻击,有内核开发能力的人也可以通过编写高防服务器的防护模块来提升防护能力。
此时,利用Linux本身所提供的功能基本可以防御DDoS攻击。例如,对SYNFLOOD攻击,调整net.ipv4.tcp_max_syn_backlog参数来控制半连接队列上限,以避免出现连接中断,调整net.ipv4.tcp_tw_recycle,net.ipv4.tc_fin_timeout来控制tcp状态在TIME-WAIT、FIN-WAIT-2中;对于ICMPFLOOD攻击,控制IPTABLES以关闭和限制ping消息的速率,或者过滤掉不符合RFC协议规范的异常消息。但这种方法只是优化单个服务器,随着攻击的资源和强度的逐渐增强,这种保护方式就显得力不从心。
2.专业的anti-DDoS硬件防火墙。
DDoS硬件防火墙从功耗、转发芯片、操作系统等多个方面进行了优化,以满足DDoS流量清理需求。IDC服务提供商会购买anti-DDoS硬件防火墙,部署在机房入口处为整个机房提供清洁服务,这些清洁箱的性能从单百兆的性能逐渐提高到1Gbps、10Gbps、20Gbps、100Gbps或更高,并且基本涵盖3-7层的各种攻击功能(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、ICP、FLOOD、CC攻击、DNS-FLOOD、反射攻击等)。
对于IDC服务提供商来说,这一点对于IDC运营商来说是相当昂贵的,每一个机房入口都需要清洗设备,需要专业的操作人员进行维护,而IDC机房并非每个IDC机房都能有相同的清洗防护能力,有的小机房只有20G带宽,不具备复用这些清洗设备的能力。
3.云时代DDoS的高防IP保护方案。
在云时代,服务被部署在不同的云或传统的IDC机房内,他们提供的DDoS基本清理服务基本上都是很小的,当受到超大流量的DDoS攻击时,主机所在的机房无法提供相应的防护能力,为了保护他们的服务不受影响,会有一个直接“黑洞”。当服务器受攻击流量超过IDC机房黑洞阈值时,IDC机房将屏蔽服务器的外部接入,避免攻击持续,影响整个机房的稳定。
因此,像防御吧的DDoS高防IP就是通过建立各种大带宽机房,提供一套DDoS解决方案,将流量转移到DDoS高防IP上进行保护,然后再将清洗后的干净流量转发给用户真正的源站。这样就可以复用机房资源,专业机房做些专业的事。降低DDoS防护的复杂性,以SaaS化方式提供DDoS清洗服务,保证企业服务器的正常运行。