Web 安全中 DDoS 攻击的检测与防御(图文)

DDoS 攻击原理

分布式拒绝服务（DDoS）攻击是一种恶意的网络攻击手段，其主要目的是通过向目标服务器或网络发起大量请求，耗尽其资源，从而使合法用户无法访问。攻击者通常会控制大量的 “傀儡机”，这些机器可以分布在不同的地理位置，同时向目标发送请求。
DDoS 攻击的原理可以简单理解为：攻击者利用大量的计算机或者设备（通常是已经感染了病毒或者恶意软件的机器）向目标服务器或者网络设备发起请求，使得目标设备无法处理这些请求，从而导致服务不可用。在传统的 DoS 攻击中，攻击者只使用单一的攻击机器向目标设备发起攻击，而在 DDoS 攻击中，攻击者使用分布式的攻击机器向目标设备发起攻击，这样攻击的威力就更大了。

常见攻击类型

1. 利用软件漏洞：如 LAND attack，攻击者向目标系统发送一个 SYN 的 TCP 包，包中的源地址被伪造为目标系统的地址。当目标系统收到包后，会向自己发送一个 SYN+ACK 的 TCP 包。然后，目标系统向自己发送一个 ACK 包，这样就自己和自己建立一个空连接。这个空连接会一直持续，直到超时，消耗大量系统资源。

2. 消耗资源：SYN Flood 攻击以多个随机的源主机地址向目的主机发送 syn 包，而在收到目的主机的 syn+ack 包后并不回应，目的主机为这些源主机建立大量的连接队列，由于没有收到 ack 一直维护这些连接队列，造成资源的大量消耗而不能向正常的请求提供服务。还有 UDP Flood 攻击，向目标系统发送大量的 UDP 数据包，使目标系统无法处理请求，从而无法提供正常服务。

据权威数据显示，2021 年上半年，全球发生 DDoS 攻击约 540 万次，同比增长 11%。从这些数据中可以看出，DDoS 攻击的威胁日益严重。

二、检测方法

（一）混合检测

混合检测方法将基于特征码和基于异常的检测方法相结合，能够更全面地检测不同类型的 DDoS 攻击。基于特征码的检测方法通过识别已知的攻击模式来判断是否存在 DDoS 攻击，这种方法对于已知的攻击类型非常有效。然而，随着攻击者不断创新攻击手段，新的攻击模式可能无法被及时识别。基于异常的检测方法则通过监测网络流量或系统状态的异常变化来判断是否存在攻击。例如，如果网络流量突然大幅增加，或者服务器的 CPU 使用率、内存使用率等指标出现异常升高，都可能是 DDoS 攻击的迹象。通过将这两种方法结合起来，可以提高检测的准确性和可靠性。

（二）判断攻击类型

根据网络和服务器的状态可以判断遭受的攻击类型。如果网络流量急剧增加，服务器的资源被大量占用，可能是流量攻击。例如，SYN Flood 攻击会导致服务器的连接队列被大量占用，CPU 使用率升高；UDP Flood 攻击会使服务器接收到大量的 UDP 数据包，网络带宽被耗尽。如果服务器的资源被逐渐耗尽，无法提供正常服务，可能是资源耗尽攻击。例如，Slowloris 攻击通过缓慢发送 HTTP 请求，使服务器的连接数达到上限，无法接受新的请求，从而耗尽服务器的资源。

（三）Web 访问路径检测

建立请求路径等五种异常检测模型，可以通过计算合法用户与攻击用户的偏离程度来判断攻击。例如，可以监测用户的请求频率、请求的资源类型、请求的来源地址等参数。如果发现某个用户的请求频率异常高，或者请求的资源类型与正常用户不同，或者请求的来源地址集中在某个特定的区域，都可能是攻击的迹象。通过对这些参数进行分析，可以计算出合法用户与攻击用户的偏离程度，从而判断是否存在攻击。

（四）OWCD 时间序列判断

对网络流量进行实时采样，计算 OWCD 时间序列的均值、方差等参数与数据库进行比对，可以判断攻击类型。采样持续时间为 10s，采样间隔 0.1s，采用点为 100 个。经过计算，正常流量的均值范围在 15 - 25 之间，泛洪 DDoS 攻击流量的均值范围则在 60 - 100；RoQ 攻击流量的均值范围则在 30 - 100。正常流量的方差范围在 60 - 220 之间，泛洪 DDoS 攻击流量的方差则会变小趋于 0；RoQ 攻击流量的方差则会在 1000 以上。通过对这些参数的分析，可以判断网络流量是否为正常流量或者遭受了特定类型的攻击。

（五）重尾特性判断

通过计算采样数据的重尾参数可以判断网络流量为正常或遭受 RoQ 攻击。根据重尾分布定义，采样数据具有累积分布函数和余累积分布函数，当重尾参数的值在 0 - 2 之间时，网络流量大小符合重尾分布，为正常流量；当重尾参数的值大于 2 时，网络流量的大小不符合重尾分布，网络流量的重尾特性遭到破坏，即 web 服务器遭到 RoQ 攻击。Pareto 分布的概率密度函数计算公式为 p (x)=k/x^(-α-1)，0<k<x，它的累积分布函数为 F (x)=P (X<x)=1-(k/x)^α，正常数 k 便是随机变量最小的取值。根据上式计算出重尾参数，用于判断网络流量的状态。

三、防御技术

（一）基本防范措施

定期扫描漏洞打补丁是防范 DDoS 攻击的重要步骤。确保服务器软件没有任何漏洞，防止攻击者入侵。例如，服务器采用最新系统，并打上安全补丁，可以有效降低被攻击的风险。同时，过滤不必要的服务和端口也能减少攻击面。通过关闭不常用的服务和端口，可以降低被攻击者利用的可能性。一般来说，只开放必要的服务和端口，如 HTTP（80 端口）、HTTPS（443 端口）等，可以有效提高服务器的安全性。

（二）高防服务器

高防服务器主要是指独立单个硬防防御应对 DDoS 攻击和 CC 攻击 100G 以上的服务器。它能为单个客户提供安全维护，根据各个 IDC 机房的环境不同，有的提供有硬防，有使用软防。高防服务器能够帮助网站拒绝服务攻击，并且定时扫描现有的网络主节点，查找可能存在的安全漏洞。例如，当遭受 DDoS 攻击时，高防服务器可以利用其强大的防御能力，将攻击流量进行分流和过滤，确保合法用户的访问正常进行。

（三）高防 IP

高防 IP 是针对互联网服务器在遭受大流量 DDoS 攻击后导致服务不可用的情况下的一款增值服务。其防御原理是用户可通过配置高防 IP，将攻击流量引流到高防 IP，从而保护真正的 IP 不被暴露。这样，即使攻击者发起大量攻击，也只能攻击到高防 IP，而无法直接攻击到源站的真实 IP 地址，确保源站的稳定可靠，保障用户的访问质量和对内容提供商的黏度。

（四）高防 CDN

高防 CDN 的全名是 Content Delivery Network Defense，即內容分离数据流量防御力。高防 CDN 的基本原理就是搭建在互联网之中的內容派发互联网，依托布署在全国各地的边沿网络服务器，通过管理中心服务平台的负载均衡、內容派发、生产调度等程序模块，使用户就近获得需要內容，而无需直接访问网站源网络服务器。其基本原理简单的说就是搭建多个高防服务器 CDN 连接点，当有 CDN 连接点攻击的时候各个连接点共同承担。不会因为一个连接点被攻击砍死而导致网站无法打开，同时采用 CDN 还可以保护网站源 IP。
高防 CDN 具有诸多优势，比如分布式架构可以大大降低网络延迟，提高用户访问网站的速度和体验；负载均衡实现将用户请求分发到离用户最近的节点服务器，避免单一服务器过载，保证网站的稳定性和可用性；缓存技术可以将网站的静态资源如图片、视频等内容缓存在节点服务器上，减少从源服务器请求的次数，提高网站的访问速度；内容优化如图片压缩、文件合并等操作，减小传输的数据量，进一步提高网站的访问速度；安全防护内置一系列的安全策略和技术手段，可以有效地抵御各种网络攻击，如 DDoS 攻击、SQL 注入、XSS 攻击等，保护网站的安全；可扩展性良好，可以根据网站的流量和用户需求，灵活地增加或减少节点服务器，以满足不同规模和需求的网站。

（五）WAF

Web 应用防火墙（WAF）是通过执行一系列针对 HTTP/HTTPS 的安全策略的一款产品。WAF 基于云安全大数据能力，用于防御 SQL 注入、XSS 跨站脚本、常见 Web 服务器插件漏洞、木马上传、非授权核心资源访问等 OWASP 常见攻击，并过滤海量恶意 CC 攻击，避免网站资产数据泄露，保障网站业务的安全与可用性。例如，当用户访问网站时，WAF 会对用户的请求进行检测，若发现请求中包含恶意代码或异常行为，WAF 会拦截该请求，防止其对网站造成损害。

（六）增值防御产品

购买 IDC 运营商的 Web 应用防火墙等增值防御产品是一种有效的防御手段。例如，Web 应用防火墙可以为用户降低停机时间、篡改风险，支持隐藏站点 IP 地址，防止对源站的直接攻击。据统计，使用专业的 Web 应用防火墙可以有效降低网站遭受攻击的概率，提高网站的安全性和稳定性。同时，这些产品通常会在 24 小时内及时更新最新漏洞补丁，并及时更新防护规则，防护快黑客一步。

四、综合分析

DDoS 攻击手段不断演变，单一的检测和防御技术往往难以完全抵御。因此，构建多层次的防御体系至关重要。
混合检测方法结合了基于特征码和基于异常的检测手段，能够全面覆盖已知和未知的攻击类型。判断攻击类型可以让管理员有针对性地采取防御措施，及时调配资源应对不同的攻击情况。Web 访问路径检测和 OWCD 时间序列判断、重尾特性判断等方法，从不同角度分析网络流量，提高了攻击检测的准确性和及时性。
在防御方面，基本防范措施是基础，定期扫描漏洞打补丁和过滤不必要的服务和端口可以降低被攻击的风险。高防服务器、高防 IP、高防 CDN 和 WAF 以及增值防御产品等多种技术手段相互配合，形成了一个强大的防御体系。
高防服务器能够应对大规模的 DDoS 攻击和 CC 攻击，为网站提供稳定的安全防护。高防 IP 隐藏了真实 IP 地址，避免了源站直接受到攻击。高防 CDN 不仅提高了用户访问速度，还能分担攻击流量，保护网站源 IP。WAF 则专注于防御 Web 应用层的攻击，过滤恶意请求。增值防御产品进一步增强了防护能力，及时更新漏洞补丁和防护规则，确保网站的安全性。
多种检测和防御技术结合构建的多层次防御体系，能够有效地应对 DDoS 攻击，保障服务的连续性和可用性。在日益严峻的网络安全形势下，企业和个人应充分认识到 DDoS 攻击的危害，积极采取有效的检测和防御措施，共同维护网络安全。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。