帶你瞭解DDOS防禦中流量清洗的技術方法

遇見DDoS攻擊的時，目前的防護技術中避免不了的會出現流量清洗過濾等詞，客戶都會很疑惑流量清洗，是怎麼清洗的，會不會把正常的訪問請求一起過濾清洗掉呢？這是站在客戶角度最關心的一個問題，這種想法很正常，因為誰都不想損失客戶嘛。那接下來分享下DDoS防禦中流量清洗的技術方法吧。

流量清洗的意思是全部的網路流量中區分出正常的流量和惡意的流量，將惡意流量阻斷和丟棄，而只將正常的流量回源給源伺服器。墨者安全一般建議選擇優秀的流量清洗裝置。有些漏報率太高的，對大量的正常請求過程中會造成中斷，有可能會影響到業務的正常執行，相當於優秀的清洗裝置，可以降低漏報率以及誤報率，在不影響業務正常執行的情況下可以將惡意攻擊流量最大化的從網路流量中去除。但是做到這一步需要用到準確而高效的清洗技術。如：
 

1、攻擊特徵的匹配：在發動DDoS攻擊過程中是需要藉助一些攻擊工具的，比如殭屍網路等。同時網路犯罪分子為了提高傳送請求的效率，攻擊工具發出的資料包通常是編寫者偽造並固化到工具當中的。因此每種攻擊工具所發出的資料包都有一些特徵存在。那麼流量清洗技術將會利用這些資料包中的特徵作為指紋依據，透過靜態指紋技術或者是動態指紋技術識別攻擊流量。靜態指紋識別的原理是預先將多種攻擊工具的指紋特徵儲存在流量清洗裝置中的資料庫，因此所有的訪問資料都會先進行內部資料庫比對，如果是符合的會選擇直接丟棄。動態指紋識別清洗裝置對流過的網路資料包進行若干個資料包學習，然後將攻擊特徵記錄下來，後續有訪問資料命中這些特徵的直接丟棄。

2、IP信譽檢查：IP信譽機制是網際網路上的IP地址賦予一定的信譽值.有一些經常用來當作殭屍主機的，會傳送垃圾郵件或被用來做DDOS攻擊的IP地址。會被賦予較低的信譽值.說明這些IP地址可能成為網路攻擊的來源。所以當發生DDOS攻擊的時候會對網路流量中的IP信譽檢查，所以在清洗的時候會優先丟棄信譽低的IP，一般IP信譽檢查的極端情況是IP黑名單機制。  

3.協議完整性驗證：為提高傳送攻擊請求的效率，大多數的都是隻傳送攻擊請求，而不接收伺服器響應的資料。因此.如果採取對請求來源進行交替嚴重，就可以檢測到請求來源協議的完整性，然後在對其不完整的請求來源丟棄處理。在DNS解析的過程中，攻擊方的工具不接收解析請求的響應資料，所以不會用TCP埠進行連線。所有流量清洗裝置會利用這種方式區分合法使用者與攻擊方，攔截惡意的DNS攻擊請求。這種驗證方式也適用於HTTP協議的Web伺服器。主要是利用HTTP協議中的302重定向來驗證請求，確認來源是否接收了響應資料並完整實現了HTTP協議的功能。正常的合法使用者在接收到302 重定向後會順著跳轉地址尋找對應的資源。而攻擊者的攻擊工具不接收響應資料，則不會進行跳轉，直接會被清洗攔截，WEB伺服器也不會受到任何影響。

 針對精準的流量清洗還需要很多種的精確技術，比如速度檢查與限制、協議代理和驗證、客戶端真實性驗證等技術方法。因為時間原因，剩下的三種方法後續分享給大家。