分享DDOS防禦過程中需要了解的技術手段

在DDOS防護過程中，流量清洗是必不可少的技術操作。那麼精準的流量清洗具體是透過什麼樣的方式實現的呢?其中會有多種的技術方式辨識。昨天給大家分享了流量清洗過程中必要的技術手段中的三個，攻擊特徵匹配、IP信譽檢查、協議完整性檢測。今天的內容主要分享速度檢查與限制、TCP代理和驗證、客戶端真實性驗證的技術手段。
 
1、透過對請求資料包傳送的速度檢查與限制來進行清洗。一部分攻擊在資料包上是沒有特別明顯的攻擊特性，同時也沒有辦法進行特徵匹配。但在請求資料包傳送的頻率和速度上會有著明顯的差異。比如在受到SSL DDoS攻擊時，會在同一個SSL會話中進行加密金鑰的多重協商。正常情況下是不會反覆多重協商加密金鑰的。所以在流量清洗的時候，如果發現SSL會話中的金鑰協商次數超過了特定的閾值，會直接中斷這個會話並且把來源加入黑名單中。或者是慢速的POST請求攻擊時，客戶端和伺服器之間會以低速率進行互相資料傳輸。在清洗過程中發現HTTP請求長時間沒有完成傳輸，就會中斷會話，這種一般是透過速度檢查和限制來進行清洗的。相比UDP洪水攻擊等是沒有明顯的特徵，此種是透過大流量攻擊，流量清洗的緩解技術是限制流量速度。
 

 
2、針對TCP協議代理和驗證：如SYN Flood洪水攻擊的方式是利用了TCP協議的弱點，將被攻擊的伺服器連線表佔滿，使其無法建立新的連線而達到拒絕服務的目的。那麼在SYN請求達到一定數量清洗後，就會回覆一個SYN+ACK資料，等待客戶端回覆。確定SYN請求是正常的使用者，客戶端就會對SYN+ACK進行響應，同時流量清洗技術會代替使用者並且保護伺服器建立了TCP連線，然後將連線加入信任列表當中。這樣使用者端和服務端之間可以進行正常的資料通訊。如果SYN請求來自攻擊者，通常不會對SYN+ACK響應，所以只是單方面的連線，流量清洗技術會暫時保留一段時間這個單方面的連線，經過一定的短的時間就丟棄它。所以相比保護伺服器，流量清洗技術會對連線表進行最佳化，也能處理很大的連線請求。因此清洗裝置保護了伺服器，也不會使其消耗任何的連線資源，效能不會受影響。

3、流量清洗過程中還會對客戶端真實性驗證，主要是對客戶端的程式以及應答模式的相互驗證。以此來檢查客戶端能否完成特定的功能和確認請求資料是否來自真實的客戶端。在頁面的WEB服務中，透過檢查客戶端是否支援JavaScript來驗證請求來源是否是真實的瀏覽器客戶端。在收到HTTP請求是，流量清洗技術會試用JavaScript等指令碼語言傳送簡單的運算操作。一般對真實的瀏覽器請求會進行正確的運算結果返回，這個時候流量清洗將驗證後的請求跳轉到Web伺服器上的正常資源位置，以此不影響正常的使用者訪問。如果是攻擊工具傳送的，是不會返回正常的運算結果，因此流量清洗技術會直接丟棄這樣請求，不會讓其跳轉到Web伺服器的連線，伺服器也不會受到影響。

DDoS攻擊的防禦技術隨著攻擊的提升也在增強中。從最初的拒絕服務變為了分散式拒絕服務，而且還在變異中，所以緩解的技術也是越來越深奧。墨者安全我力所能及的分享一些關於DDOS攻防的技術，網路安全方面的知識以及見解，對此大家有各自的觀點可以相互交流。