我们知道DDoS 防护需要争分夺秒的进行,能快一分钟,业务中断就少一分钟,遭受的损失也会减少一分,整个防护系统要足够的实时。在流量的采集、分析和拦截都要做到实时化,特别是攻击流量大的时候,实时分析对整个链路的性能都有很大挑战。
要做到足够快,人工分析一定是来不及的,必须要足够自动化、智能化,通过离线的基线画像计算,加上实时的智能策略,现在能做到了95%以上的应用层 DDoS 攻击都可以在 3 分钟内自动防护成功,并且将业务恢复,因为整个分析决策链路比较长,其中还是有很大改进空间。
应用层 DDoS 防护还有很多的挑战等着我们去解决,误杀问题就是其中一个。当业务有促销或者秒杀等活动时,短时间内的流量激增,且部分秒杀场景中大量 IP 集中访问一个页面,甚至此时正常业务就已经受到影响,服务端响应过慢了,此时各个维度都跟正常基线相关也非常大,DDoS防护里的攻击检测系统很容易将这种行为误判为 DDoS 攻击。
另外一个难题是,防御系统非常依赖业务的基线画像做防御策略,如果一个新上线的业务就遭受攻击,或者业务刚接入防御系统,此时防御系统缺少该业务的画像,并不知道它正常流量是怎样的,防御效果就会大打折扣。另外一个问题也发生过多次,在一些业务中客户端有重连的逻辑,或者出错后重传的逻辑,如果客户端逻辑设置不当,当服务端发生异常时不断重连或重传,也容易误判为攻击行为,导致整个 IP 被封禁。针对这些防御缺陷,需要在设计新的技术方案,包括访问源、客户端的信誉评分,尽量减少DDoS防护系统对正常用户的误杀率。
从历史发展来看,DDoS防护和攻击技术一直在发展,但是攻击和防护从来都没有哪一方是占据绝对优势的,双方的技术总是在螺旋上升。只要有利益存在,黑客就会不断挑战新的DDoS防护方案,虽然现今已经做了大量防护技术上的创新,但是道高一尺,魔高一丈,黑客一定会研究新的攻击技术绕过我们的防护系统,从简单、粗暴的攻击方式往精细化、智能化方向发展,进而迫使我们研究新的防护技术,未来攻击和防护技术都会因此迈上一个新的台阶。
本文转自:http://www.heikesz.com/ddos1/1818.html