在过去二十一年的时间里,百度与中国互联网共同成长茁壮,百度安全也经历了各种网络威胁的历练,基于这些攻防博弈中的提炼总结,得出网络流量攻击的趋势和发展。发现近年来,网络攻击的峰值带宽规模以每年平均20%的增速不断的创造新高,除去网络基础设施的扩容外,在于黑客掌握的资源越来越多,诸多可反射的服务、不安全的IOT设备、高风险的移动APP等新的技术与新的设备被用于DDoS攻击,据AWS在2020Q1威胁态势报告披露,最高的一次攻击流量达到2300Gbps。同时,在百度安全和中国联通联合发布的《2020年DDoS攻击态势报告》中,去年累计监测到DDoS攻击达到63万次,是前年的近1.75倍,其中小于5Gbps峰值的攻击占比超过60%,100Gbps以上的大流量攻击事件16029次,日均达44次,且每次攻击持续时间长短不一,根据《报告》统计攻击持续时间小于2分钟的超过30%。可以发现,攻击者为寻求攻击成本和攻击效果之间的平衡,开始采用间歇式的攻击方式。
而分布式拒绝服务攻击在技术上可以分为两类,一类是通过海量发包来拥塞网络出口或者托管服务器的系统资源的流量型攻击 DDoS,包括各种各样的反射性攻击。以及通过应用层信息攻击来消耗内存资源的连接或内容攻击 CC,借由控制大量的僵尸网络,它专门请求那些特别消耗资源的数据库接口、登录接口、加密接口来实施,如Synflood攻击,仅需1Mbps的流量就足以打垮一般的服务器。当攻击者伪造源IP向目标服务器发出syn包请求,在目标服务器响应后,等待第三次握手,但这种情况下是等不到的,导致占用半连接队列的资源,而目标服务器的半连接资源是有限的,很容易就被打超,致使服务瘫痪。除此之外,反射攻击也已经成为主流的攻击方式,其中常见的反射攻击类型已经超过50种,经百度安全智云盾首次监控、分析并预警的新型反射攻击便有13种之多。
如何通过小成本去搭建高收益的防御方案,去应对上述的攻防态势变化与新型攻击手段?首先,在传统IDC网络侧DDoS防御点中,根据一些典型特征,采取对症下药的策略,如在Linux服务内核开启Syn Cookie或进行防火墙的调试,使Syn flood攻击会被cookie校验或让防火墙做针对性拦截来提升防御效果,但这些仰赖于长期对抗下所累积的经验。所以,另一方面,从DDoS攻击缓解的角度,我们认为在对抗过程中,如果在自身源站系统建设具有足够的健壮性,能极大地提升防御效果:在业务资源策略上,资源基于业务隔离,包括动静分离、前/后端API分离,并评估和掌握当前业务及对应的服务器、网络带宽、数据库、性能吞吐等的承载性能,与准备必要的资源冗余;在安全策略上,设置合理有效的安全组策略与做好必要的加固、及时更新系统补丁、进行日志存储与分析,并为源站建立源IP限速的策略 ,与建立应急自动/手工阻断黑IP的策略;在进阶策略上,做好DDoS攻击应急方案,如系统弹性扩容、服务降级、关键业务加入人机识别、关键业务静态维护页面等, 并接入专业的第三方防攻击平台,做好业务防御预配置和演练。
此外,重中之重的便是企业技术人员不能有侥幸心里,否则很容易出现幸存者偏差。许多中小企业不一定有时间和精力细化到对应的预案中去,故可以采用专业的第三方DDoS攻击缓解服务。否则,很多网站管理者往往是等到网站遭到攻击,蒙受损失才去寻求解决的方案。在互联网飞速发展的时代,一定要具有安全隐患意识,等吃亏了再想办法补救,为时已晚。
防御盾安全团队自主研发倾力打造的超级抗D中心,具备1Tbps抗D能力,采用云端防护模式,客户无需购买或租用硬件清洗设备,按需使用;同时,百度安全团队全程支持防护;有效防御各类攻击,包括(不限于)流量型、应用型、扫描窥探型、协议漏洞型、协议选项型等DDoS攻击,如SYN Flood、UDP Flood、DNS Query Flood、CC等,挽回因网站或业务服务中断造成的诸多损失。秒级拉黑僵尸IP与主动释放已建立的僵尸连接,缓解服务资源占用,支持Python和Shell语言,帮助业内更好地抵御基础CC攻击。