1 DDoS攻击介绍

1.1 什么是DDoS攻击？

DDoS即分布式拒绝服务（Distributed Denial of Service），攻击者调用分布于互联网各处的僵尸主机对目标服务器发起恶意的过量访问，耗尽攻击目标所在网络的链路带宽资源、会话资源，导致用户的业务访问报文到达服务器前就已经出现丢包，或者直接耗尽目标服务器处理性能，造成正常用户的访问出现丢包卡顿，甚至完全中断，即目标服务器拒绝为正常用户提供服务。DDoS攻击目标可以是单一业务服务器IP，也可以是网络基础设施，比如DNS，或者网络中多段IP地址。

图1-1什么是DDoS攻击？

从威胁角度讲，任何业务系统或网络只要接入互联网，对互联网暴露公网IP，均可能成为DDoS攻击目标。虽然大多数情况下，攻击目标IP是互联网业务系统IP，但DDoS攻击发生时，受影响的不仅仅是业务，作为网络基础设施的链路、防火墙、负载均衡设备均可能成为攻击威胁对象。

图1-2DDoS攻击危害

DDoS从OSI分层及攻击危害来看可以分成三大类：网络层攻击、会话耗尽攻击和应用层攻击。网络层攻击的攻击目标是网络链路带宽，攻击者通过僵尸网络向攻击目标发送大量网络层报文形成超大带宽的流量，导致攻击目标所在网络的链路带宽拥塞；会话耗尽攻击是攻击者通过僵尸网络发送大量TCP会话层报文，快速耗尽攻击目标所在网络中的防火墙、负载均衡等基础网络设备或攻击目标服务器的会话资源；应用层攻击则是攻击者通过僵尸网络向攻击目标服务器发起过量应用层请求，导致攻击目标业务系统资源耗尽。

2 DDoS攻击现状及趋势

2.1 Tbps级攻击时代到来，挑战防御成本

行业内激烈的恶意竞争及攻击的低成本促使DDoS攻击流量峰值拉升至Tbps级，百Gbps攻击频发，直接挑战防御成本。

图2-1 DDoS攻击强度越来越高，Tbps级攻击时代到来

图2-2 超800Gbps攻击常态化

SYN Flood、ACK Flood、TCP反射、UDP Flood、UDP反射是形成大流量攻击的主要采用的攻击类型。攻击成本持续降低，导致攻击规模持续增长。从近年全球记录的年度最大攻击来看，单次攻击的峰值流量带宽稳定在2.5Tbps-3.5Tbps区间，峰值包速率则稳定在900Mpps-1000Mpps区间。单次扫段攻击峰值规模维持在200-600个C段。应用层攻击的峰值RPS则依然呈现迅速增长趋势。新型UDP反射及TCP反射不断被挖掘，同时攻击者惯用多种攻击混合且叠加脉冲、扫段等攻击手法，扩大威胁范围，提升网络层攻击防御成本。

2.2 大流量攻击秒级加速，挑战防御系统响应速度

大流量攻击呈现明显的“Fast Flooding”特点，攻击流量如决堤的洪水，瞬间倾泻而下，要求防御系统“零”延迟。传统的秒级动态引流攻击防护方案存在瞬间漏防，如果漏过的攻击流量高达几十Gbps，则引发明显的网络抖动。

图2-3 大流量攻击秒级加速

大流量攻击持续秒级加速态势，爬升速度2024年再创新高。瞬时泛洪攻击2秒流量即可爬升至近400Gbps，10秒即可爬升至900Gbps-1Tbps区间，挑战防御系统响应速度。如果防御系统响应速度还停留在秒级，1秒即可漏过超250Gbits攻击报文，在依靠会话转发的网络设备及被攻击服务器瞬间创建几千万新建会话，被攻击服务器访问中断，作为网络基础设施的防火墙或负载均衡设备因会话耗尽继而引发恶性断网事故。即使攻击立即停止，网络和业务系统也无法快速恢复。因此，对于大流量攻击频繁的数据中心，为确保攻击发生时租户无感知，边界大容量防御系统具备毫秒级的攻击响应能力成为数据中心建设DDoS防御系统的第一考虑要素。

2.3 攻击惯用“短平快”战术，挑战防御系统的自动化程度

43.03%的网络层DDoS攻击持续时间不超过5分钟，挑战防御系统的自动化程度和安全运维团队的响应速度。人工响应攻击至少需要10分钟内，依靠安全运维人员手工调整防御策略提升防御成功率，应对“短平快”类攻击越来越困难，急需防御系统具备一定的智能化运维能力，即自动判定攻击漏防，自动进行防御策略调优。

图2-4 攻击惯用“短平快”战术 

3 DDoS攻击防御手段

3.1 防御体系架构

DDoS攻击防护方案，包括三大组件：管理中心、检测中心和清洗中心。

图3-1 DDoS攻击防护方案架构

管理中心作为整个方案的大脑，主要功能包括：DDoS攻击防护设备集中管理、防御策略配置管理、DDoS业务配置管理、系统及攻击告警管理、业务报表呈现、设备及管理中心自身性能监测，并提供API实现和第三方系统的集成。

检测中心负责对攻击防护网络的流量进行多维度的统计并实时和检测阈值进行比较，当发现某攻击防护IP的流量超过阈值则认为该IP流量异常，上报管理中心异常事件，由管理中心触发清洗中心对被攻击IP的引流和清洗。

管理中心接收到检测中心上报的异常事件时，会通知清洗中心发布引流路由，将被攻击的IP的流量牵引到清洗中心，剔除攻击流量，然后将干净的业务流量回注到客户网络。清洗中心7层智能过滤模型。

3.2 三层协同攻击防护处理大流量攻击

分层协同攻击防护方案：攻击防护第一层，在企业网络边界部署盒式DDoS攻击防护设备过滤企业带宽范围内攻击，提供企业业务攻击防护；攻击防护第二层，国际出口、骨干、城域部署大容量清洗中心，共用同一管理中心，两层防御设备位于同一防御组。当企业遭遇攻击时，第一层攻击防护系统秒级触发防御，当攻击流量持续提升，危及企业网络链路带宽，告警升级，管理中心触发上游国际出口、骨干、城域大容量清洗中心引流清洗，过滤网络层大流量攻击；当攻击流量继续提升，危及国际出口、骨干、城域网管道，告警再次升级，管理中心发送云信令到云清洗调度平台，触发第三层攻击防护，即全球化近源云清洗。

图3-2 三层协同防御业务流程图

3.3 动态流量基线检测技术秒级识别攻击

图3-3 动态流量基线学习原理示意图

流量基线学习是对用户网络流量进行周期性的统计学习，取学习周期内每种流量模型的最大值作为基值，利用AI消噪技术，结合容忍度（以防止流量瞬时的抖动引起的误判）计算得来的值作为攻击检测阈值。用户网络流量模型发生变化，流量模型学习结果会自动调整，相应的检测阈值也会自动调整。同时结合逐包检测，可在1秒内准确识别出攻击。

3.4 智能防御技术实现自动化攻击防护

管理中心可通过预置的专家策略模板，实现无干预防御。当发生复杂攻击时，管理中心通过对被攻击目标IP实施秒级的多维度流量快照，并对转发流量快照和业务流量基线学习结果进行实时比对，基于比对结果进行防御效果评估。当发现攻击漏防时，管理中心自动对漏防的流量自动策略调优，即防御策略从宽松至严格逐步收紧，最终实现防御全程自动化，无需人工干预。当攻击结束后，管理中心将防御策略自动复原到收紧前状态。智能防御开启时，管理中心可基于流量自动抓包实现攻击流量自动留存。

图3-4 防御智能驾驶处理流程图

来源：李特整理。免责声明：引用会标注来源，内容仅代表作者个人观点，版权归原作者或出版社所有，不对所涉及的版权问题负法律责任，如有侵权，请联系删除。