雲盾ddos基礎防護方法「網站ddos防護軟件」

2021年9月10日上午，在亞馬遜雲科技中國峰會北京站上，百度安全技術總監馮景輝以《四兩撥千斤——大流量時代如何以最小成本防禦流量攻擊》為題展開了精彩的演說，從流量攻擊技術的昨天、今天和明天，到如何以架構優化提高防禦能力，以小成本構建基礎防禦能力，與怎麼利用雲SaaS服務來實現更靈活的混合架構防禦等多維度，精妙剖析了當下DDoS防護中的眾多痛點與解決之道。

在過去二十一年的時間裏，百度與中國互聯網共同成長茁壯，百度安全也經歷了各種網絡威脅的歷練，基於這些攻防博弈中的提煉總結，得出網絡流量攻擊的趨勢和發展。發現近年來，網絡攻擊的峰值帶寬規模以每年平均20%的增速不斷的創造新高，除去網絡基礎設施的擴容外，在於黑客掌握的資源越來越多，諸多可反射的服務、不安全的IOT設備、高風險的移動APP等新的技術與新的設備被用於DDoS攻擊，據AWS在2020Q1威脅態勢報告披露，最高的一次攻擊流量達到2300Gbps。同時，在百度安全和中國聯通聯合發佈的《2020年DDoS攻擊態勢報告》中，去年累計監測到DDoS攻擊達到63萬次，是前年的近1.75倍，其中小於5Gbps峰值的攻擊佔比超過60%，100Gbps以上的大流量攻擊事件16029次，日均達44次，且每次攻擊持續時間長短不一，根據《報告》統計攻擊持續時間小於2分鐘的超過30%。可以發現，攻擊者為尋求攻擊成本和攻擊效果之間的平衡，開始採用間歇式的攻擊方式。

而分佈式拒絕服務攻擊在技術上可以分為兩類，一類是通過海量發包來擁塞網絡出口或者託管服務器的系統資源的流量型攻擊 DDoS，包括各種各樣的反射性攻擊。以及通過應用層信息攻擊來消耗內存資源的連接或內容攻擊 CC，藉由控制大量的殭屍網絡，它專門請求那些特別消耗資源的數據庫接口、登錄接口、加密接口來實施，如Synflood攻擊，僅需1Mbps的流量就足以打垮一般的服務器。當攻擊者偽造源IP向目標服務器發出syn包請求，在目標服務器響應後，等待第三次握手，但這種情況下是等不到的，導致佔用半連接隊列的資源，而目標服務器的半連接資源是有限的，很容易就被打超，致使服務癱瘓。除此之外，反射攻擊也已經成為主流的攻擊方式，其中常見的反射攻擊類型已經超過50種，經百度安全智雲盾首次監控、分析並預警的新型反射攻擊便有13種之多。

如何通過小成本去搭建高收益的防禦方案，去應對上述的攻防態勢變化與新型攻擊手段？首先，在傳統IDC網絡側DDoS防禦點中，根據一些典型特徵，採取對症下藥的策略，如在Linux服務內核開啟Syn Cookie或進行防火牆的調試，使Syn flood攻擊會被cookie校驗或讓防火牆做針對性攔截來提升防禦效果，但這些仰賴於長期對抗下所累積的經驗。所以，另一方面，從DDoS攻擊緩解的角度，我們認為在對抗過程中，如果在自身源站系統建設具有足夠的健壯性，能極大地提升防禦效果：在業務資源策略上，資源基於業務隔離，包括動靜分離、前/後端API分離，並評估和掌握當前業務及對應的服務器、網絡帶寬、數據庫、性能吞吐等的承載性能，與準備必要的資源冗餘；在安全策略上，設置合理有效的安全組策略與做好必要的加固、及時更新系統補丁、進行日誌存儲與分析，並為源站建立源IP限速的策略 ，與建立應急自動/手工阻斷黑IP的策略；在進階策略上，做好DDoS攻擊應急方案,如系統彈性擴容、服務降級、關鍵業務加入人機識別、關鍵業務靜態維護頁面等， 並接入專業的第三方防攻擊平台，做好業務防禦預配置和演練。

此外，重中之重的便是企業技術人員不能有僥倖心裏，否則很容易出現倖存者偏差。許多中小企業不一定有時間和精力細化到對應的預案中去，故可以採用專業的第三方DDoS攻擊緩解服務。否則，很多網站管理者往往是等到網站遭到攻擊，蒙受損失才去尋求解決的方案。在互聯網飛速發展的時代，一定要具有安全隱患意識，等吃虧了再想辦法補救，為時已晚。

在亞馬遜雲科技對百度雲高防進行了完整的安全資質和架構審計後，百度雲高防服務已在亞馬遜Marketplace上架，為使用亞馬遜雲科技的企業提供DDoS攻擊緩解服務。該服務由百度雲防中心所提供，是百度雲與安全團隊自主研發傾力打造的超級抗D中心，具備1Tbps抗D能力，採用雲端防護模式，客戶無需購買或租用硬件清洗設備，按需使用；同時，百度安全團隊全程支持防護；有效防禦各類攻擊，包括（不限於）流量型、應用型、掃描窺探型、協議漏洞型、協議選項型等DDoS攻擊，如SYN Flood、UDP Flood、DNS Query Flood、CC等，挽回因網站或業務服務中斷造成的諸多損失。並開源有百度智雲盾Anti-CC腳本，能快速鑒別惡意IP（Botnet IP），秒級拉黑殭屍IP與主動釋放已建立的殭屍連接，緩解服務資源佔用，支持Python和Shell語言，幫助業內更好地抵禦基礎CC攻擊。想了解更多抗D詳情，請直達百度安全DDoS攻擊防護官網。