.DDoS攻击的趋势
DDoS攻击的趋势总结起来主要有4点,
(1)攻击流量越来越大
DDoS的攻击流量已达500Gbit/s。2016年全球有记录的DDoS峰值已近60Gbit/s,而到了2017年上半年,规模最大的DDoS攻击流量则已达到650Gbit/s。其中,游戏行业大于30Gbit/s以上的攻击就超过了1800次。
(2)移动攻击越来越多
随着智能终端和4G 移动网络的普及,来自移动端的攻击越来越多。移动终端的安全防护能力和用户安全意识较弱,容易成为DDoS攻击利用的对象。值得一提的是,随着物联网的兴起,基于物联网协议的SSDP(Simple Service Discovery Protocol)的反射攻击频率越来越高,明显超越NTP、DNS等传统反射攻击。SSDP被广泛应用于网络摄像头和智能家电,因此SSDP反射攻击源数量非常庞大,而且网络资源更加丰富。
(3)应用型攻击越来越普遍
应用层的攻击将会越来越普遍。报告显示,2017年与2016年相比,应用型攻击增长了42%。其中HTTP flood攻击增长高达26%,混合型攻击增长高达40%。
混合型攻击是指攻击者同时采取多种类型的攻击报文来进行DDoS攻击,例如,传输层与应用层相结合的DDoS攻击,应用层的HTTP flood大流量攻击与HTTP慢速小流量渗透攻击相结合的攻击。混合型DDoS攻击让普通的DDoS防御设备难以防范,或将成为今后主流的DDoS攻击方式。
(4)攻击更多是从数据中心发起的
报告显示,由数据中心向外发起的DDoS攻击呈增长趋势;数据中心服务器被黑客控制沦为僵尸网络的趋势也与日剧增;超大流量的DDoS攻击多数由被控制的数据中心发起。由此可见,数据中心已经成为DDoS攻击的控制目标。
随着云计算的快速发展,互联网业务越来越集中,云数据中心将面临比传统数据中心更加严峻的DDoS攻击考验。主要原因在于:云数据中心虚拟机的租户身份难以被有效识别,且其安全意识薄弱;虚拟机数量庞大、业务种类多、流量模型差别大,难以得到完全的、具有针对性的防护。
前面我们介绍了DDoS攻击的基本概念并分析了DDoS攻击的发展趋势。可能大家会考虑,对于DDoS攻击,我们难道就没有应对之策了吗?
在这种情况下,华为Anti-DDoS方案应运而生,其能够完美地检测和防御DDoS攻击,是当今对抗DDoS攻击的不二之选。
1.2.1 华为Anti-DDoS方案的介绍
华为Anti-DDoS方案包括三大组件:检测中心、清洗中心和管理中心(ATIC)。
① 检测中心主要负责检测流量,发现流量异常后上报管理中心,管理中心下发引流策略至清洗中心,指挥清洗中心进行引流清洗。
② 清洗中心主要根据管理中心下发的策略进行引流、并清洗流量(过滤),并把清洗后的正常流量回注,同时将这些动作记录在日志中上报管理中心。
③ 管理中心负责检测中心和清洗中心的统一管理和调度,即日志记录和报表呈现,以及Anti-DDoS运营方案的提供。
Anti-DDoS方案的工作流程说明如下。
① 检测中心检测分光或者镜像流量。
② 检测中心发现流量异常后,上报受攻击的IP地址到管理中心。
③ 管理中心自动向清洗中心下发引流策略。
④ 清洗中心根据引流策略将去往被攻击IP地址的流量引流到清洗中心中。
⑤ 清洗中心通过先进的多层过滤防御技术清洗流量,丢弃攻击流量。
⑥ 清洗中心将清洗后的正常流量回注到网络中。
⑦ 清洗中心上报攻击日志到管理中心,管理中心负责呈现流量清洗效果。
1.2.2 动态流量基线技术
常见的DDoS攻击主要是大流量的攻击,因此检测中心的主要工作是分类统计流量,然后和预先配置的检测阈值进行比较,如果流量超过检测阈值则认为流量发生异常,需要进行清洗。由此可见,检测是否准确主要取决于检测阈值的配置是否合理,而其合理性完全取决于网络安全工程师的经验。不同网络流量的模型不同,因此,检测阈值的配置没有统一的经验值可循。既然检测阈值这么重要,手工配置又这么艰难,而检测设备又永远在线,是否有一种技术可以自动学习网络的各种流量阈值呢?因此,动态流量基线技术应运而生。
华为Anti-DDoS系统可周期性地统计学习用户网络流量,其将学习到的周期内每种流量模型的最大值作为基本值,然后再结合容忍度(以防止流量瞬时的抖动引起的误判)计算出最终的攻击检测阈值。当用户网络流量模型发生变化时,流量模型学习结果会自动被调整,相应的检测阈值也会自动被调整。
