起源于二十世纪九十年代,历经二十多年发展而经久不衰,DDoS攻击已经成为网络安全领域影响最为深远的威胁之一。伴随着人工智能、云计算、物联网等技术的发展,DDoS攻击技术也在随着新技术而不断演进,所形成的灰色产业链愈发成熟而顽固。
根据阿里云监测数据,2019年,云上DDoS攻击发生近百万次,日均攻击2000余次,与2018年整体持平,但相比2019年上半年有所下降。同时,应用层DDoS(CC攻击)成为常见的攻击类型,与2018年相比,攻击手法也更为多变复杂。
DDoS 关键防御技术 IP轮询技术
对稳定性、流畅性以及安全性上要求较高的业务,用户遭受 DDoS 攻击且达到一定峰值时,系统通过 IP 轮询机制,将从IP 池中灵活调取一个新的 IP 充当业务 IP,使攻击者失去攻击目标,以此保证业务在 DDoS 的攻击下正常运转。
BGP 高防 IP
当用户应用 BGP 高防 IP 且配置转发规则和域名回源后,此时所有的访问流量都将流经 BGP 高防 IP 集群,通过端口协议转发的方式(支持网站业务和非网站业 务)将访问流量转发至源站,同时攻击流量将在 BGP 高防 IP 集群进行清洗和过滤,只会将正常业务流量返回至源站,从而确保源站业务的稳定。
运营商过滤
针对反射放大类攻击,都有相同的特点,可以直接在运营商侧进行过滤,不用将流量流入抗D设备,从而使防御与反射放大类压制更有效果。
流量预压制
流量预压制/UDP 预压制等能力,从容应对新型的超大流量攻击 (Memcached的 5W倍反射)。
基于区块链技术 DDoS 固证
在 DDoS 防御产品及后台平台底层架构上利用区块链上数据不可篡改和可溯源的特性,将电子存证数据按照时间的顺序放到区块链中,以此提高数据的可信度,确保数据无法被更改,增加集成固证取证能力,为被攻击的用户提供出证服务,协助溯源。
不同于其他的网络攻击方式,DDoS攻击无法做到完全的抵御,更多的是缓解,而且所采用的技术方式也都是大同小异。而针对不同的业务场景,在抗D产品的选择上可能也会有不同的结果。
针对企业所采用抗D产品的现状,我们做了一些调查:
1.在应对DDoS攻击,企业是否会选择专业抗D产品,还是更倾向于其他带有DDoS防护功能的安全产品?
2.企业所遭受的DDoS攻击类型主要是哪些?
3.对于现有的抗D产品满意度如何?
4.对抗D产品期望改进的地方?
……