DDoS攻击作为目前最凶猛、最难防御的网络攻击之一,影响范围非常广泛。腾讯安全云鼎实验室于近日正式发布《2018年游戏行业安全监测报告及五大攻击趋势》,在报告中指出DDoS攻击作为典型游戏行业黑色产业链的一部分,正威胁着游戏行业的安全。此外,从卡巴斯基实验室发布的第三季度全球DDoS攻击情况报告中可以看到,与2017年相比,DDoS攻击数量都有所增长,并且中国成为攻击次数最多的地方,占全球DDoS攻击总量的78%。因此架构完善的DDoS防御系统是维护网络及应用安全的重要前提。
DDoS攻击的增长对DDoS防御系统提出更高要求
在构建DDoS防御前,需要解决的一个问题是识别DDoS攻击。由于在互联网上有大量流量来自于机器人,其中包括好的机器人和恶意机器人,其中恶意机器人会利用机器人行为对业务发起DDoS攻击,有些攻击存在于第四层,绝大多数出现于第七层。尤其是七层DDoS攻击,我们看到它的流量行为和他的访问目标都是如此的像真实流量一般,这无疑就给DDoS防御提出了更高难度的识别要求。因此DDoS防御系统的首要目标,就是区分流量来源是机器人、DDoS攻击程序还是真实的访问用户,并在此基础上判断业务系统在什么状况下受到DDoS攻击,是因为流量很大吗?还是说是因为会话数很多?还是在某些其它维度可以表征出来?
以上提到的两个问题,现在市面上看到的大量基于七层的DDoS防御系统并没有很好地解决。因为这些传统的解决方案还是有不足之处,只有当流量特别大、session数变得非常高的时候才会启动DDoS防御。可是事实上,七层DDoS的攻击并不是传统的流量型攻击,她可能更多的是在于消耗我系统的应用层资源。举个最简单的例子,也许我的系统上有一百个对象,其中某一个查询的对象,它消耗的资源是其他页面资源的十倍甚至一百倍,所以对攻击者而言,我只要用1%的源去攻击这一个对象,就可以达成DDoS的目标。而整个的这个过程并不需要,也并不会出现海量流量的特征。所以我们说如何去区分,如何去判断系统受到攻击很重要。
面对DDoS攻击,F5架构了DDoS防御系统,DDoS Hybrid Defender 是唯一一个可对抗混合网络攻击和复杂应用攻击并支持完全 SSL 解密、反自动程序功能和高级检测方法的多层防御。除了在传统的设备,在流量网络中间去判断流量,会话,学习流量的特征,比如说带宽,请求数,会话数,URL等等之外,F5的DDoS防御系统还增加了一个维度,这个维度就是服务器的压力。当发现服务器的压力变得很大的时候,系统可能正受到DDoS攻击。F5的DDoS防御系统就会结合网络流量行为在进行综合判断,以确认当前是否存在DDoS攻击。此外F5的DDoS防御系统是基于行为分析,除了判断系统正在受到DDoS攻击之外,还要进行相应的动作。