DDOS即分布式拒绝服务攻击，攻击者利用不同位置的大量“肉鸡”对目标发动大量的正常或非正常请求，耗尽目标主机资源和网络资源，使被攻击的主机不能正常为合法用户提供服务。

DDOS攻击具有攻击成本低、危害大、防御难的特点，是企业安全建设需要防范的风险之一，本节介绍DDOS攻击分类及危害、DDOS攻击的常用方案，并重点阐述云抗DDOS攻击应用方案。

目录

前言：

DDOS攻击分类及危害

1．DDOS攻击分类

2．DDOS攻击危害

DDOS攻击防护方案

云抗DDOS攻击应用实践

1．云抗DDOS攻击防护方案说明

2．云抗DDOS攻击注意事项

典型应用案例

1．背景

2．DDOS防护方案

DDOS攻击分类及危害

1．DDOS攻击分类

从DDOS攻击的类型上，主要分为流量型攻击和应用型攻击。流量型攻击如SYNFoold、ACK Flood、UDP Flood；应用型攻击主要包括HTTP CC攻击、DNS Query Flood。

如图1为SYN Flood攻击，客户端发送SYN包给服务端，服务端返回SYN+ACK包，客户端会返回ACK确认包，完成3次握手。但是攻击者可以很容易伪造源IP发送SYN包，服务端响应SYN+ACK包，但客户端永远不会回复ACK确认包，所以服务端会不断重试（一般会5次），当大量的恶意攻击请求包发送过来后，服务端需要大量的资源维护这些半连接，直到资源耗尽。

图1 SYN Flood攻击示意图

如图2，为CC攻击的软件示意图，该软件可以接入代理IP源，每个请求使用不同代理IP，并且可以修改请求的浏览器UA、控制线程数、选择攻击目标等，攻击的效率非常高，只要掌握数台机器和代理IP资源，就可以发送大量的HTTP请求，耗尽Web服务器的性能。

图2 CC攻击示意图

2．DDOS攻击危害

如果是流量型攻击，很容易把互联网入口堵死，一般DDOS流量攻击动不动就是10G打起，对于一般中小企业，互联网总带宽远小于这个量级，很容易就被打垮。如果是托管在运营商或第三方数据中心机房，为了保障在同机房中的其他客户能正常使用互联网带宽资源，往往会将被攻击的IP临时摘除（黑洞），让黑客的攻击流量无法送达。如图3为流量型攻击的示例图，运营商的抗DDOS设备上监控到的10G左右的攻击流量从不同地方打过来。

在湖南的小伙伴应该知道：5月份某日湖南电信遭遇DDOS洪水攻击导致下午几个小时全省集体断网….

​

​图3 流量型DDOS攻击案例

如果是CC攻击，很容易把Web服务器或相关数据库服务器打死，特别是有和数据库交互的页面，黑客攻击时会先找到这样的页面，然后发起大并发的HTTP请求，直到耗尽Web服务器性能或数据库性能，无法正常提供服务。如图4为CC攻击示意图，可以看到在一段时间内，同一个Useragent的请求占比很高，有些CC攻击会往固定的几个URL发起攻击，这些URL的请求量会特别高。

​图4 CC攻击特征

如果没有效手段阻断攻击DDOS攻击，必将影响公司业务正常开展。

DDOS攻击防护方案

​DDOS攻击防护需要依靠DDOS攻击防护系统，如图5所示，为运营商级DDOS攻击防护系统的防护架构图，其防护流程如下。

（1）正常情况流量从运营商骨干网路由器路由到用户机房的路由器上。

（2）DDOS攻击防护系统一般包括检测系统和清洗系统2个部分，检测系统通过网口镜像或分光器镜像流量的分析，判断是否存在DDOS攻击行为，一旦发现则通知清洗服务器，开启防护模式。

（3）清洗系统开启BGP通告，将原来转向用户机房的路由牵引到清洗系统路由器上，这时攻击流量就改变方向流向到清洗服务器上。

（4）清洗服务器将攻击流量清洗，正常业务流量放行。

（5）正常业务流量回注到用户机房，这样就完成了DDOS攻击防护。

​图5 DDOS攻击防护架构图

DDOS攻击防御的前提条件是有足够的冗余带宽，冗余带宽是指保障业务正常访问带宽后的剩余带宽。因此，除了少数大型企业有自建DDOS防护系统的必要，大多数情况一般是购买运营商抗DDOS服务，或者使用云抗DDOS防护服务。如表1，为不同DDOS攻击防护方案的应用场景和优缺点比较。

表1 常见DDOS攻击防护方案对比​

​

本节重点介绍云抗DDOS应用方案和实践经验。

云抗DDOS攻击应用实践

1．云抗DDOS攻击防护方案说明

如图6所示，为典型的云抗DDOS攻击防护方案部署图。

​​图6 云抗DDOS攻击应用方案

（1）首先需要购买高防IP服务，根据需要选择，建议选择BGP高防。高防IP服务一般有保底防护带宽和弹性防护带宽，弹性防护带宽需要根据实际防护量单独再收费。

（2）配置DDOS防护策略，需要将域名、回源配置设置好，如果是CC攻击防护，还需要将HTTPS证书导入到抗DDOS防护中心。

（3）验证配置是否正确，可以修改本地电脑的hosts文件，改到高防IP上，然后通过域名访问，看是否已生效。

（4）实际使用时，将DNS切换到云抗DDOS中心，一般通过修改CNAME或A记录即可。

2．云抗DDOS攻击注意事项

（1）在实际应用过程中，建议将抗DDOS的源站线路和日常源站线路分开，且抗DDOS攻击的源站IP没有被暴露过。因为一般发生攻击时，源站线路的IP可能被ISP黑洞，短时间内无法使用；另外如果更换一个同一个网段的IP作为新的源站IP，很容易被黑客猜到。

（2）主站IP要和其他服务站点的IP分开，因为主站IP经常可能遭受攻击，这样可以降低攻击的影响面。

（3）需要放行云DDOS防护中心的网段，避免被防火墙、IPS、WAF等设备阻断（因为同IP的请求频率会变高）。另外需要考虑透传真实用户请求IP，用于进行统计分析等应用。

（4）需要考虑服务延时，需要考虑云抗DDOS中心机房和源站的地理位置，如果离得太远，很有可能会增加访问延时。

（5）一般不建议将流量一直切换到抗DDOS中心，只有遭受攻击时再切换。或者当有重要活动时，可以事先切换上去，避免遭受攻击时DNS切换的时间，影响重要业务活动。

（6）对于CC攻击，第一优先防护方案是WAF，如果实在不行，再切换到抗DDOS中心。

典型应用案例

​1．背景

某公司，主机房服务器托管在数据中心，灾备机房在云上。主要应用为网站和APP，经常遭受DDOS攻击，影响业务开展。

2．DDOS防护方案

• 采购某云DDOS厂商服务，10G BGP + 弹性防护扩展。
• 使用专用线路用于抗DDOS回源。
• 攻击时通过DNS切换将流量切到高防IP上，营销活动开展时，事先将流量切到高防上。
• HTTPS证书配置到DDOS设备上。
• 流量型攻击防护效果比较理想，CC攻击防护效果也不错（需要和厂商配合进行策略优化）。