如何抗ddos攻击，教你一个不花一分钱又有效的好方法

DDoS 攻击近年来非常普遍，很多有名气的网络平台都遭遇过。当应用层 DDoS 攻击现阶段早已是最常见的攻击种类之际，对程序猿来讲，有什么必须掌握的 DDoS 攻击重点知识，更加关键的是，怎样进行有效防御实践活动？在「CSDN 线上高峰会 —— 阿里云关键技术竞争能力」上，在设备、运用、网络信息安全行业有着 14 年科学研究工作经验的阿里云杰出安全专家汪雪深层次点赞了新式应用层 DDoS 攻击防御的最佳实践，希望可以对每一个技术人有所启发及助益。

一键复制或点一下「阅读」可免费在线观看汪雪教师视频分享：

创作者 | 汪雪，阿里云杰出安全专家

责编 | 唐小引

店标 | CSDN 免费下载自中国东方 IC

制作 | CSDN（ID：CSDNnews）

一、应用层 DDoS 攻击详细介绍

DDoS 攻击一直以来困扰着互联网公司，从我们云盾检测过的 DDoS 攻击流量最高值看来，近几年攻击流量在大幅上涨，从 2014 年我们对外开放公布防御了全球最大 DDoS 攻击，453.8Gbps，到今天 T 级别 DDoS 也变的比较常见。

大流量 DDoS 攻击存有了很多年，尽管攻击流量一直在提高，可是攻击种类变化不大，一直以 SYN Flood、UDP Flood、UDP 反射面攻击为主导。对于大流量攻击有了很有效的防御方式，之前这种大流量攻击碰到安全防护设备时，如同进到超级黑洞一样被吞食，防御取得成功率较高，可是黑客们永不言败，她们向这一超级黑洞发起新的目标。

如果将攻击流量装扮成正常的业务流量，那样安全性防御机器设备就难以区别出攻击流量，这样就可以越过防御机器设备攻击到后端运用，这便是应用层 DDoS 攻击，又叫 CC（ Challenge Collapsar ）攻击，便是考验超级黑洞的意味。

二、应用层 DDoS 的攻击方法

应用层 DDoS 近几年越来越受黑客的热捧，从检测过的数据看，应用层 DDoS 攻击在 2019 年就会有翻番提高。

除开非常容易绕开防御机器设备，还有一个重要的主要原因是应用层 DDoS 攻击更高效，由于应用层的攻击都需要开启顶层运用的处理方法逻辑性，在其中可能会有数据库、远程控制 API 启用、文件读写，甚至还有繁杂的计算逻辑，那么这些流量会让服务器端产生更大的压力。攻击者精挑细选的含有繁杂逻辑的 URL 开展攻击，能用很小的流量对运用或数据库系统造成社会压力。攻击者不需要使用非常大的网络带宽，并且对服务器端仅有小幅的 QPS 增涨，让检测和防御都显得更有考验。

DDoS 攻击最著名的方式就是拒绝服务攻击，黑客操纵了很多的傀偶服务器（肉食鸡或 bot）向总体目标进行攻击。这种傀偶服务器有可能是网络服务器、PC、手机上或 IoT 机器设备。

在应用层 DDoS 攻击中，我们不难发现另一种笑里藏刀的攻击方法很常见，黑客在一些抢手的网页页面中内嵌了含有攻击的行为 JavaScript 编码，当来访者开启这种网页页面时，电脑浏览器就循环系统对目标进行攻击，在一些滞留时间较长的网页页面，例如经典小说或小电影网站，加上不断地有新客户浏览，攻击便会不断很长一段时间。尽管黑客并没有操纵这种机器的管理权限，可是他依靠这种正常的客户浏览器完成了大规模应用层 DDoS 攻击。

网络上 HTTP/HTTPS 服务项目占有率较大，因此对于 HTTP/HTTPS 协议的应用层 DDoS 攻击也是最常见的，大家把他叫 HTTP Flood。虽然都是进行 HTTP 要求，可是也有不同方法，防御难度也不一样。大家分析过许多 DDoS 木马病毒，有一些立即拼凑 HTTP 报文格式具体内容发给服务器端，这类一般攻击技巧比较单一，而且也没有考虑到 Cookie 和 HTTP 自动跳转，可不能实行 JavaScript。

进一步我们不难发现有一些木马病毒应用现成的 HTTP 库，它对于 HTTP 协议书的大力支持更加完善，一部分能够适用 Cookie 和 HTTP 自动跳转，但却没有电脑浏览器模块所以无法实行 JavaScript。

再进一步我们不难发现含有电脑浏览器模块的攻击方法，它其实就是个无对话框浏览器，能够完备的适用 Cookie、HTTP 自动跳转和 JavaScript。大家也发觉立即使用浏览器开展攻击的，有 Windows 平台上的恶意程序中置入 IE 控制，挪动 App 中置入 WebView 控制，前边讲到的受欢迎网页页面置入 JavaScript 都是电脑浏览器攻击的事例。由于攻击流量本来就是电脑浏览器发起要求，所以这样的鉴别难度比较大。

另外一种应用层 DDoS 攻击就是针对 SSL，据调查全世界超出 85%的网页页面早已开启 HTTPS 协议书了，因此攻击总体目标范畴非常大。我们都知道建立一个 SSL 联接的花销是非常大的，有些人分析过，建立一个 SSL 联接服务器端耗费的云计算服务器是服务端的 15 倍，当然如果攻击者向总体目标网络服务器进行很多 SSL 联接挥手，会对总体目标网络服务器造成巨大特性工作压力。这里有一个考验取决于，只会在 SSL 挥手进行之后，才能传送应用层的信息具体内容，因此根据数据文件具体内容来测试攻击，在这里就不可用。

前边说的许多攻击方法跟 HTTP/HTTPS 业务流程有关，可是私有协议也还是存在应用层 DDoS 攻击的，这个在许多手机游戏业务中非常常见。一些粗暴的攻击方法是实现 TCP 联接后，推送随机事件垃圾数据，一般情况下服务器端碰到违法数据信息就会直接断掉这一联接。

可是也有一些耐心的攻击者，对正常业务流程流量开展抓包软件，用播放的方式向总体目标进行攻击，一方面是这类正常流量会使服务器端实行更多领域模型测算，例如登陆实际操作要求数据库查询，进而产生更多的攻击实际效果，另一个层面也是很难把播放流量跟正常的客户流量区别开来，对检测和防御有更大挑战。

从这些攻击方法中可以看出，应用层 DDoS 攻击再也不是简单粗暴大流量冲击性，反而是攻击者用心结构的数据文件，装扮成正常的流量绕开防御机器设备，攻击后端应用和服务项目。

三、传统应用层 DDoS 防御计划方案

传统防御策略是工作频率限定，在源 IP、URL 精密度开展速度限制，阻拦高频率的来访者。现阶段大部分 CC 防御产品都向客户提供速度限制作用。可是工作频率速度限制有许多缺点，因为不同业务流程 QPS 差异很大，默认速度限制对策根本无法适合所有情景，例如如下所示，第一个流量图，最高值流量做到 20 万 QPS，而第二个图最高值才 2 万 QPS，大家判断力上分辨第二个是攻击个人行为，可是显而易见这俩业务流程不可以用同样的速度限制策略的。

另一个关键是，当一个网站流量非常大时，一些脆弱的插口能接受的 QPS 又十分低，全局的速度限制对策也不可用了。粗暴的阻拦 IP 还可能会引起弄伤，如果一个源 IP 浏览过多还把 IP 加黑名单，有可能会把 NAT 出入口 IP 屏蔽了，在的企业、学校里有一个人进行攻击还把全部出入口 IP 拦截了会对正常的消费者的浏览。

因此应用层 DDoS 防御有一个关键环节是要做更精细化的对策，许多 CC 防御产品支持客户自定对策，将指定数据文件丢弃。对于非 HTTP 协议书，一部分商品给予让用户配置报文格式过虑特点，对 HTTP 协议书，大部分网络安全产品都给予用户配置 HTTP 每个维度的组成阻拦标准。可是 DDoS 防御全是争分夺秒的，这类人力分析与配备对策存有很严重的滞后效应。此外这类对策十分依靠安全性专家经验，及其对业务的理解。

一些自动化计划方案还在广泛应用，可能大家经历过浏览一个网站时发生一个黑屏网页页面，上面提醒正在做检测服务，几秒后跳转总体目标网页页面，这个叫 JavaScript 考验。服务器端向手机客户端回到一个校检网页页面，里面包括了校检浏览器的 JavaScript 编码，怎么样用真正浏览器登录而且有正常的用户行为，就能校检根据。它也有一些缺陷，便是只是针对网页页面，假如是 API 插口，这类考验会使正常的业务流程终断，另外也不适用于非 HTTP 协议书。

人机对战校检方法也被用来应用层 DDoS 防御，包含图片验证码或需要客户点一下、滚动的验证形式，这种行为虽然大部分情景使用，但很影响客户体验，而且仍然存在缺点，只有适用网页页面，不可以用以 API 插口和非 HTTP 协议书。

四、智能的防御计划方案

1. 深度防御的构架

这种计划方案都存在一定的缺点，没有一个方案是能解决全部环境下的 DDoS 攻击，因此我们在近几年做了一个深度防御计划方案，考虑了多种不同的攻击方法，大家从各个层面作出了流量分析与防御，包含数据文件具体内容特点、浏览个人行为、手机客户端挑战和智能的速度限制，在其中很多运用了自动化技术剖析模型，细致到每个业务、每一个 URL 开展浏览基线剖析，全自动发觉这其中的出现异常，而且根据阿里云的优点规模性运用了威胁情报技术性。下列图上绝大多数一个新的防御方式都是为防御网络层 DDoS 攻击量身定做的。

2. 智能化的响应式计划方案

• 为何必须响应式？

不论是默认安全防护模版，还是让客户去配备，不是个好的计划方案。当有较多不一样业务时，我们一定要一个响应式方案，依据业务历史的流量实时分析出通常情况下的基线，根据这一基线去出现异常，并阻隔出现异常要求。

• 响应式的难题与挑战

难题一：如何自动描绘业务基线，并防止历史时间攻击的影响？

例如下列图上第一个流量图，你能够自动检索出去它规律性起伏并形成它工作频率基线，尽管最高值 QPS 很高，但它合乎历史时间工作频率基线，因此我们判断它是正常的个人行为。第二个图，尽管最高值 QPS 不太高，但它不符历史时间基线，因此判断存有攻击个人行为。

全过程必须根据数据信息自动执行，毕竟在存有很多不一样业务的情形下，人工标注是不太可能的。与此同时，假若网站历史上存在攻击，也要全自动去除攻击时的信息，防止影响。

难题二：怎样在攻击第一时间出现异常并作出处理？

发觉流量存有出现异常只是第一步，最主要的是鉴别出去什么流量是异常，而且一键生成对策把他阻隔掉。每一个业务的流量都不一样，攻击方法也千姿百态，显而易见不可以用一个固定不动的特点去区别出攻击流量和普通流量。相同的，找到攻击流量的最重要的是要了解正常的流量长什么样，我们可以从几十个层面，在业务正常情况下学习培训出流量的基线肖像，细致到每个网站域名、每一个端口号、每一个 URL，同样也是定向推广。当出现攻击时，流量分析引擎也可以根据现阶段流量和基线对比，一键生成阻拦攻击流量的思路。

3. 降维攻击的协作防御

在阿里云我们每天防御了大量的攻击，每一次防御都是能够导出有价值的信息用以维护更多别的顾客。

如同人体免疫系统一样，一个客户遭受过一种类别的攻击，该攻击状况便会进到威胁情报系统内，实时分析出攻击技巧和攻击源 IP 特点，并形成多层次的目的性计划方案。下次再产生这类攻击时，全部顾客都能够遭受维护。

五、网络层 DDoS 防御的高速发展

DDoS 防御必须分秒必争，能快一分钟，业务终断就少一分钟，全部防御系统软件要足够即时。在流量的收集、分析与阻拦都要做到实时化，尤其是攻击流量大的时候，实时分析对于整个链接性能都有很大考验。必须做到充足快，人力剖析一定是赶不及的，一定要充足自动化技术、智能化系统，根据线下的基线肖像测算，再加上实时智能化对策，现在我们做到了 95%以上网络层 DDoS 攻击都能在 3 分钟之内全自动防御取得成功，将业务修复，由于全部剖析管理决策链接长，在其中是有很大的改善室内空间。

网络层 DDoS 还有一些考验等待大家去处理，错杀关键是其中一个，当业务有营销、限时秒杀时，短时间流量猛增，一部分击杀场景下很多 IP 集中化浏览一个网页页面，乃至这时正常的业务就已受影响，服务器端回应过慢了，这时每个层面都和正常的基线有关特别大，攻击监测系统非常容易将这种做法错判为 DDoS 攻击。

另外一个难题是，防御系统软件十分依靠业务的基线肖像做防御对策，如果一个新上线的业务就遭到攻击，或是业务刚连接防御系统软件，这时防御系统软件缺乏该业务的肖像，并不了解它正常的流量是怎么样的，防御实际效果便会受到影响。另外一个问题也产生过很多次，在一些业务中手机客户端有重新连接的思路，或是出差错后重新传输的思路，假如手机客户端逻辑性设定不合理，当服务器端产生异常情况时持续重新连接或重新传输，也很容易错判为攻击个人行为，造成全部 IP 被禁封。针对该防御缺点，我们也在设计方案新技术计划方案，包含浏览源、手机客户端的信用得分，尽量避免对正常的消费者的错杀。

从历史发展来说，DDoS 的防御技术性一直在发展，可是攻击和防御根本就没有哪一方是占有较大优势的，彼此的专业技术总是会在螺旋上升。只要是有权益存有，网络黑客便会持续考验他们的防御计划方案，尽管我们今天做了许多防御技术上的自主创新，可是道高一尺，魔高一丈，网络黑客一定会科学研究一个新的攻击技术性绕开他们的防御系统软件，从简易、粗暴的攻击方法往精细化管理、智能化系统方面发展，从而驱使大家科学研究一个新的防御技术性，将来攻击和防御技术性都是会跃上一个新的台阶。

作者介绍：汪雪，阿里云杰出安全专家，在设备、运用、网络信息安全领域有14年科学研究工作经验，阿里防钓鱼、云盾反侵入、网络安全产品项目负责人，在网络安全攻防方面有着丰富的经验，其核心基本建设的诸多安全生产技术保障了阿里云上百万级顾客。

做为“上百万学得AI”不可或缺的一部分，2020 AIProCon 开发人员万人大会将在6月26日根据在线直播平台方式，让开发商们一站式学习了解时下 AI 的新技术科学研究、关键技术及应用及其企业案例的社会经验，同时也可以线上参与精彩纷呈多样化的开发人员沙龙活动与编程项目。参加展望系列活动、线上视频互动，不但可以与上万名开发人员们一起沟通交流，有机会赚取直播间专享大礼，与技术大咖连麦直播。