寫在前面的話

對于企業和組織而言，分布式拒絕服務攻擊(DDoS)不僅是非常痛苦的，而且還會給公司打來巨大的損失。那么我們應該如何防御這種攻擊呢?在此之前，我們可以通過帶外系統或流量清洗中心來抵御DDoS攻擊。但是現在我們又多了一種防御方法，即內聯緩解(inline mitigation)，這也是一種可行的自動化解決方案。

DDoS攻擊概述

實際上，DDoS攻擊完全可以被當作“大規模網絡攻擊”的代名詞。而且在某些特殊的攻擊場景中，攻擊流量可以達到每秒鐘好幾百Gbits，但是這種情況相對來說比較罕見。在大多數情況下，攻擊者可以用每秒鐘1Gbit(或者更少)的流量來對企業或組織的網絡系統發動洪泛攻擊。而且這些攻擊的持續時間一般不會太長，大多數DDoS攻擊只會持續三十分鐘左右。攻擊者可以通過DDoS攻擊來拖垮目標網絡系統，而且往往會使整個網絡系統中所有的服務器全部下線。不僅如此，我們通常很難追蹤到攻擊者，而且這種攻擊也沒有什么很明顯的前兆，這也就使得企業和組織很難去檢測和防御DDoS攻擊。

2015年5月份，安全咨詢機構波耐蒙研究所(Ponemon Institute)發布了一份針對金融領域的網絡安全威脅分析報告。據統計，金融機構檢測分布式拒絕服務攻擊平均需要花費27天的時間，然后還需要花13天的時間去消除DDoS攻擊所帶來的影響。

但是，這些攻擊的成本通常也比較高。根據波耐蒙研究所的另一份調查報告，DDoS攻擊的平均成本約為一百五十萬美元左右，但是如果公司無法向客戶提供服務的話，公司的實際損失金額一般都會超過DDoS攻擊成本的三倍之多。目前，DDoS攻擊平均每小時的成本約為38美金。所以無論如何，我們都應該考慮一下到底應該如何防御DDoS攻擊了。

內聯vs帶外

在最開始，行業內在防御DDoS攻擊時普遍采用的是帶外DDoS保護。在這種防御機制下，網絡中的設備是獨立于路由器的。路由器負責傳輸來自互聯網的流量數據，然后發送元數據樣本，并向設備描述流量數據的內容。如果系統檢測到了可疑的數據包或者探測到了DDoS攻擊的苗頭，那么便會立刻向用戶發出警報。

與之相反，帶內DDoS保護機制需要直接面對所有的通信數據流，并且在對流量進行分析和處理的過程中，判斷哪些數據包需要丟棄，然后將有效的數據包發送給終端設備或用戶。

內聯系統可以查看到從某個網絡節點流向另外一個網絡節點的通信流量，并且可以實時過濾和處理這些網絡流量。相對而言，帶外設備幾乎無法獲取到通信流量的樣本，而且這些數據早就已經到達目的地址了。

信息安全咨詢公司MWR Infosecurity的安全顧問Nick LeMesurier解釋稱：“雖然帶外流量分析可以允許安全人員在不影響通信數據流的情況下來對流量進行更加復雜的分析，但是在檢測到攻擊和防御規則的實施之間會有一定的時間延遲。”因此，帶外解決方案通常對DDoS攻擊模式反應較慢，而且這種防御機制本身并不會做任何實際的事情，而是會提醒其他的系統來采取相應的防御措施。

Dave Larson是Corero網絡安全公司的首席運營官兼首席技術官，他解釋稱：“部署一個內聯的自動化DDoS攻擊緩解方案將允許安全技術團隊搶在攻擊者的前面，總是領先一步于攻擊者。”

通常情況下，當攻擊流量通過不斷轉發最終到達帶外DDoS攻擊緩解服務時，網站服務器都已經下線超過三十分鐘了，而此時攻擊所造成的損失已經無法挽回了。現在隨著時間的推移和技術的發展，DDoS不僅變得越來越復雜了，而且攻擊所造成的直接經濟損失也在不斷增加。為了應對這一日益嚴峻的安全趨勢，我們就需要設計出一種高效的解決方案。當攻擊發生時，能夠自動消除惡意流量給網絡系統所帶來的影響，并且能夠允許管理員實時觀測到網絡系統的運行情況。

商業問題

信息安全咨詢公司ECS的首席技術官Nathan Dornbrook認為：“重定向是帶外系統中的一個關鍵功能。網絡通信流量必須要從路由器重定向至DDoS攻擊防御設備上，這樣防御系統才可以對數據包進行深層次地分析。如果你是一家大型公司，而且你有兩家互聯網服務提供商(ISP)來幫助你進行網絡流量的均衡負載。這往往意味著，如果你想要實現這種“重定向”的話，就必須要求其中一家服務提供商向另外一家服務提供商提供訪問自家網絡核心設施的途徑，而這是業內的一種大忌。”

Nathan Dornbrook警告稱：“如果你允許你的競爭對手去訪問你自家網絡基礎設施中的路由表，這將有可能影響自身網絡服務的穩定性。除此之外，這也往往意味著大量的惡意流量將有可能全部進入服務提供商的核心網絡設施中。這對于網絡服務提供商和客戶來說，都是一件無比頭疼的事情。”

處理復雜的攻擊

Dornbrook指出：“隨著技術的進步，內聯緩解方案已經逐漸發展成為一種不錯的選擇了，而且在實現方式上我們也有多種選擇。有的人在進行DDoS攻擊防御時，會使用到內容分布網絡(CDN)和流量過濾功能，他們會對網絡通信流量進行過濾，并且將最終的數據發送給你。這種服務雖然也有一定的作用，但是它們更適合網絡規模較小的客戶使用。”

在這篇關于如何防御DDoS攻擊的文章中，系統與網絡安全協會(SANS Institute)指出：“基于云的防護服務并不能有效地幫助公司抵御那些“低緩”的DDoS攻擊。因為在這類攻擊中，傳入網絡的數據包會慢慢消耗掉服務器資源，并且讓合法數據無法得到及時的響應和處理。在這種場景下，攻擊者根本無需對目標網絡進行洪泛攻擊。”

在這類攻擊場景中，攻擊者往往使用的是類似RUDY和Slowloris這樣的黑客工具。這種工具可以通過創建出數量相對較低(速度也非常慢)的通信請求來慢慢拖垮目標服務器。由于Web服務器對于并發的連接數通常都有一定的上限，如果這些惡意連接一直都在嘗試與服務器通信，那么Web服務器的所有可用鏈接都會被惡意鏈接所占用，從而無法接受新的請求，導致拒絕服務。這種攻擊往往都是在網絡棧的應用層(OSI模型的第七層)發生的。

Nimbus DDoS公司是一家專門幫助客戶研究及模擬DDoS攻擊活動的咨詢企業，該公司的首席執行官Andy Shoemaker表示：“針對應用層的攻擊往往是最棘手的，因為它們利用的是系統架構中的設計缺陷。”

結束語

如果你正在設計一種內聯的解決方案，那么你必須要針對網絡系統的流量需求來規劃整體方案的框架大小。服務器的性能是至關重要的，因為如果內聯解決方案會限制服務器性能的話，那么這個方案可能就會成為網絡流量的瓶頸了。因此，能否正確地管控網絡系統中的數據流就顯得十分重要了。

我希望大家的網絡系統不要被這些眼中只有金錢利益的網絡犯罪分子們拖垮。雖然有些人可能只是為了搗亂，但是DDoS所帶來的損失卻是無法挽回的。