治标更治本，如何從根源防護DDoS攻擊

由于DDoS攻擊越來越頻繁，如何對抗DDoS攻擊成為不少企業的難題。直播平台，視訊網站，電商，金融網站等競争性網站更是苦于應付。

x86君與多名行業客戶[這些客戶業務基本上都是出于發展期或爆發期]交流後發現，大部分使用者遭受DDoS攻擊時往往發現他們所采用的DDoS攻擊防護服務商都可以清洗3-4層Volume(流量型) DDoS攻擊，但是在防護具有針對性的Volume或Application型DDoS攻擊卻毫沒有特别有效的方案。

其原因在于DDoS攻擊防護服務商無法非常了解使用者業務特性或對針對性的DDoS攻擊采用了粗放式的防護方法(粗放式的防護算法對使用者正常的業務流量誤殺率極高)。

例如目前大部分DDoS攻擊防護服務商針對UDP協定或ICMP協定或者私有協定的DDoS攻擊防護采用門檻值觸發方式對這類觸發門檻值的流量進行直接攔截。

還有一種針對UDP或ICMP協定或私有協定的DDoS攻擊防護算法，那就是TCP反向源認證。

采用TCP反向源認證的UDP防護算法

采用TCP反向源認證的DDoS防護算法防護UDP協定的攻擊可能會讓部分不支援TCP協定的用戶端被誤殺，并且會導緻反彈認證的流量過高，通常會高達8倍，這也會讓大部分DDoS攻擊防護服務商無法支撐巨額的上行帶寬費用!(10Gbps的純64位元組小包攻擊，會導緻防火牆反彈80Gbps的TCP封包)

這裡杉堤(SeedMssP)采用了較為先進Machine learning(機器學習)方式對UDP和ICMP或私有協定流量進行學習并防護，能夠較為有效的防護UDP和ICMP以及私有協定的DDoS攻擊，并能夠保障對使用者正常流量誤殺率始終處于最低水準(誤殺率平均在5%左右)。

回到話題，抓包分析封包來防護DDoS攻擊對大型IT企業(例如BAT這類規模的)來說非常有效，因為大型IT企業往往都配備超高性能的路由器，和超高性能的防火牆。

那如果我的企業是個初創型的IT企業怎麼辦?我買不起數十萬數百萬元的路由器和高性能防火牆，那我該如何防護這類具有針對性的DDoS攻擊呢?

很簡單，首先你要有個抓包工具，當你遭受此類DDoS攻擊的時候，你可以使用TCPDUMP或Wireshark來抓取目前裝置的網絡封包。

然後将抓取的封包利用封包分析工具分析，例如使用Wireshark。

下面x86君簡單介紹下，如果攻擊者采用大量的殭屍電腦攻擊一個網站，攻擊使用一個固定的URI參數，且這個URI參數對正常訪客來說并無用處的情況下的DDoS攻擊防護方法。

首先黑客攻擊了 http://123.1.1.2/test.php?mynameis=ddos

那麼我們在被攻擊的伺服器内使用抓包工具抓取一定數量的封包，然後利用Wireshark對這組封包進行分析。

我們可以看到封包内有一組GET /test.php?mynameis=ddos的字元。那麼我們隻需要提取mynameis=ddos這組URI參數作為特征。

如果你使用Nginx作為Web Server，那麼你可以在Nginx的配置檔案中加入如下參數即可防護：

if ($args ~* "mynameis=ddos") {

return 444;

}

但是，如果攻擊請求每秒高達數萬次或數千萬次的情況下，Nginx可能就頂不住了，或許你需要把DDoS攻擊流量在進入你伺服器之前攔截掉。

此時x86君建議客官試一試SeedMssP獨有的V-ADS細粒度清洗模型了。

V-ADS虛拟防火牆(細粒度清洗部分)

V-ADS虛拟防火牆能夠為客官提供封包級别的DDoS攻擊防護，客官可以自行定義DDoS攻擊的防護特征模型，而V-ADS會根據客戶提供的封包指紋特征以及頻率或相關模型行為對符合特征的封包進行攔截，放行，限速。

剛才的DDoS攻擊黑客采用了mynameis=ddos的uri參數對Web伺服器發起DDoS攻擊，此時使用者可以通過開啟V-ADS的Http Flood防護子產品進行一鍵防護，如果客官是個Geek，那麼客官可以利用V-ADS的清洗粒度模型清洗此類DDoS攻擊。

mynameis=ddos的十六進制是：6D796E616D6569733D64646F73

TCP封包的标志位資訊

TCP封包中的Flags是0x18，那麼意味着TCP的标志位就可以勾選PSH和ACK(勾選後将隻對包含PSH和ACK标志位的封包進行比對)，如果客官不勾選的話V-ADS會對所有封包進行比對。

那麼客官可以在V-ADS清洗粒度模型中填寫如下内容：

此時點選儲存後，再一次通路 http://123.1.1.2/test.php?mynameis=ddos的時候，V-ADS就會立即攔截包含此特征的封包。

通路被攔截掉了

通路被攔截掉了如果客官您腦洞開的大，您還會可以利用這V-ADS的細粒度清洗模型來完全貼合您的業務特性，将誤殺率降低到最低甚至零誤殺!

比如”國民老公”的熊貓TV，如果被DDoS攻擊，在保證誤殺率的情況下秒級清洗，那麼即使被攻擊對直播的順暢度，使用者的體驗度來說是毫無負面影響的。

最後x86君要說下的是，V-ADS清洗是線速的喲~~~

PS:杉堤是一家專注于DDoS攻擊防護的雲安全服務提供商，公司多年來緻力于研發DDoS攻擊的追蹤和防護。杉堤以"專注業務，安全靠我"為願景，持續創新，為客戶提供領先的雲安全産品與解決方案。在良莠不齊的DDos防護市場中,杉堤值得您的青睐!www.SeedMssp.com

本文轉自 盧松松部落格 51CTO部落格，原文連結：http://blog.51cto.com/lusongsong/1852291，如需轉載請自行聯系原作者