DDOS 流量清洗：网络安全的坚实护盾(图文)

DDOS 攻击是一种常见且极具破坏力的网络攻击方式，它会给网络服务带来严重的危害。有权威数据统计显示，2020 年的 DDOS 攻击数在经历了 2018 年底司法机关的重拳打击后迎来强势反弹，攻击次数创下历史新高，同比增幅高达 135%。
DDOS 攻击会造成多方面的危害。首先，业务受损，如游戏行业、在线教育、电商平台等需要业务驱动的网站，一旦受到攻击，访问量减少甚至无法访问，业务就会受损，导致收入严重减少，影响行业正常发展。其次，信誉受损，业务网站、服务器无法访问会造成用户体验感差，用户投诉不断出现，导致潜在客户流失及现有客户对平台的安全性与稳定性产生怀疑，造成客户信任危机。再者，资料外泄，受到 DDOS 攻击时，容易受到网络入侵或者攻击者利用上传恶意软件来转移被攻击者的注意力，导致数据被盗，信息丢失等问题。
而流量清洗在应对 DDOS 攻击中起着至关重要的作用。流量清洗可以通过分析、识别和过滤恶意流量，只允许合法的网络流量到达目标服务器，保障网络服务的稳定运行。流量清洗系统可以快速发现 DDOS 攻击，当流量超过某个阈值时，系统会自动启动清洗工作，并对非法流量进行抵制和清除，确保目标网络的稳定运作。同时，流量清洗能够减少网络拥堵，在 DDOS 攻击中，攻击者的威胁流量极大，可能使目标网络完全崩溃，而流量清洗系统的出现能让网络更加畅通，重要数据包也不会被过滤。此外，流量清洗系统还能快速恢复网络，当目标网络遭受 DDOS 攻击而导致瘫痪时，传统方式难以找到瘫痪来源，而流量清洗系统能够快速识别和清除 DDOS 攻击流量，使网络迅速恢复正常状态，保证网络服务的稳定性。精准定位网络攻击也是流量清洗系统的一大优势，它可以帮助网络管理员或安全专业人员快速识别和定位 DDOS 攻击的来源，并采取更有效的防御措施。最后，流量清洗系统还能提供实时监测和报告服务，让管理员清楚了解网络状况和威胁情况，及时采取针对性措施防御 DDOS 攻击，保障网络的安全和可用性。

二、流量清洗的技术方法

（一）攻击特征的匹配

在 DDOS 防御中，攻击特征的匹配是一种重要的流量清洗技术方法。发动 DDoS 攻击过程中常借助攻击工具，如僵尸网络等。网络犯罪分子为提高发送请求的效率，攻击工具发出的数据包通常是伪造并固化到工具当中的，每种攻击工具所发出的数据包都有一些特征存在。
流量清洗技术利用这些数据包中的特征作为指纹依据，通过静态指纹技术和动态指纹技术识别攻击流量。静态指纹识别预先将多种攻击工具的指纹特征保存在流量清洗设备中的数据库，所有访问数据都会先进行内部数据库比对，符合的会直接丢弃。例如，假设数据库中保存了某特定攻击工具发出的数据包特征为特定的数据包大小、特定的源 IP 地址范围等，当有新的访问数据到来时，流量清洗设备会将其与数据库中的特征进行比对，如果匹配上这些特征，就会认定为恶意流量并丢弃。
动态指纹识别则是清洗设备对流过的网络数据包进行若干个数据包学习，然后将攻击特征记录下来，后续有访问数据命中这些特征的直接丢弃。比如，在一段时间内，流量清洗设备发现某些数据包的发送频率异常高、数据包的内容有特定的规律等，就会将这些特征记录下来，之后如果再有类似的数据包出现，就会被认定为恶意流量并被丢弃。

（二）IP 信誉检查

IP 信誉检查也是流量清洗应对 DDOS 攻击的有效方法之一。IP 信誉机制是为互联网上的 IP 地址赋予一定的信誉值。一些经常被用作僵尸主机、发送垃圾邮件或被用来做 DDOS 攻击的 IP 地址，会被赋予较低的信誉值，说明这些 IP 地址可能成为网络攻击的来源。
当发生 DDOS 攻击的时候，会对网络流量中的 IP 信誉进行检查，在清洗的时候会优先丢弃信誉低的 IP。一般 IP 信誉检查的极端情况是 IP 黑名单机制。例如，如果某个 IP 地址在短时间内频繁发起大量的网络请求，且这些请求的特征与已知的攻击特征相似，那么这个 IP 地址的信誉值就会降低。当信誉值降低到一定程度时，流量清洗设备就会将其列入黑名单，后续来自这个 IP 地址的网络流量就会被直接丢弃，从而有效地阻止恶意流量的进入。

（三）协议完整性验证

协议完整性验证在流量清洗中起着关键作用。为提高发送攻击请求的效率，大多数攻击者只发送攻击请求，而不接收服务器响应的数据。因此，如果采取对请求来源进行交替严重，就可以检测到请求来源协议的完整性，然后对其不完整的请求来源丢弃处理。
在 DNS 解析的过程中，攻击方的工具不接收解析请求的响应数据，所以不会用 TCP 端口进行连接。所有流量清洗设备会利用这种方式区分合法用户与攻击方，拦截恶意的 DNS 攻击请求。比如，正常的合法用户在进行 DNS 解析时，会接收服务器的响应数据，并根据响应进行后续的网络访问。而攻击者的攻击工具不接收响应数据，无法进行后续的网络访问流程，流量清洗设备就可以识别出这种异常行为，并将其拦截。
这种验证方式也适用于 HTTP 协议的 Web 服务器。主要是利用 HTTP 协议中的 302 重定向来验证请求，确认来源是否接收了响应数据并完整实现了 HTTP 协议的功能。正常的合法用户在接收到 302 重定向后会顺着跳转地址寻找对应的资源。而攻击者的攻击工具不接收响应数据，则不会进行跳转，直接会被清洗拦截，WEB 服务器也不会受到任何影响。

三、流量清洗的实现方式

（一）本地 DDos 防护设备

本地 DDos 防护设备一般分为 DDos 检测设备、清洗设备和管理中心。

• 组成：DDos 检测设备通过流量基线自学习方式，按各种和防御有关的维度，如 syn 报文速率、http 访问速率等进行统计，形成流量模型基线，生成防御阈值。清洗设备根据管理中心下发的策略进行引流、清洗，并把清洗后的正常流量回注，同时将动作记录在日志中上报管理中心。管理中心负责检测中心和清洗设备的统一管理，提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。

• 工作原理：检测设备日常学习流量模型基线，学习结束后继续统计流量并与防御阈值比较，超过则认为异常，通告管理中心。管理中心下发引流策略到清洗设备，启动引流清洗。

• 引流清洗策略：异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后，为防止流量再次引流至 DDos 清洗设备，可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络，访问目标系统。

（二）运营商清洗服务

运营商清洗服务在应对流量型 DDos 攻击中起着重要作用。当流量型攻击的攻击流量超出互联网链路带宽或本地 DDos 清洗设备性能不足以应对 DDos 流量攻击时，运营商通过各级 DDos 防护设备以清洗服务的方式帮助用户解决带宽消耗型的 DDos 攻击行为。实践证明，运营商清洗服务在应对流量型 DDos 攻击时较为有效。运营商采购安全厂家的 DDoS 防护设备并部署在城域网，通过路由方式引流，生效时间更快，能够帮助企业用户解决带宽消耗性的拒绝服务攻击。但运营商清洗服务多是基于 Flow 方式检测 DDoS 攻击，且策略的颗粒度较粗，因此针对低流量特征的 DDoS 攻击类型检测效果往往不够理想，部分攻击类型受限于防护算法往往会有透传的攻击报文，此时对于企业用户还需要借助本地 DDoS 防护设备，实现二级清洗。

（三）云清洗服务

云清洗服务具有一定的优势和特定的适用场景。

• 优势：依托运营商骨干网分布式部署的异常流量清洗中心，实现分布式近源清洗技术，在运营商骨干网络上靠近攻击源的地方把流量清洗掉，提升攻击对抗能力。弹性扩展，可在数分钟内自动扩展以应对攻击流量，并在攻击停止后自动收缩；高度可用，云服务提供商通常具有多个数据中心，提供高度可靠和可用的清洗能力；成本效益，可根据攻击流量大小按需付费，降低企业和个人的安全成本。

• 适用场景：具备适用场景的可以考虑利用 CNAME 或域名方式，将源站解析到安全厂商云端域名，实现引流、清洗、回注，提升抗 D 能力。进行这类清洗需要较大的流量路径改动，牵涉面较大，一般不建议作为日常常规防御手段。适用于运营商 DDos 流量清洗不能实现既定效果的情况，作为最后的对决手段。对于部署在非中国大陆地区业务，利用全球大流量清洗中心能力，分布式近源清洗分布式拒绝服务攻击，开放最大防护能力，输出实战中历练出的智能防护算法，将成功防护 DDoS 攻击作为高防服务核心目标。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。