DDoS攻击保护服务提供商通常提供使用非对称方案的连接保护:仅过滤传入流量(流向受保护资源的流量),而根本不考虑传出流量。在许多其他情况下,他们使用对称方案,不仅分析传入流量,还分析传出流量或有关它的服务信息。何时和在哪些情况下应该优先使用非对称过滤方案,何时应该优先使用对称过滤方案?

不对称方案:更简单、更便宜……

非对称流量过滤方案在客户和反 DDoS 提供商中都很受欢迎。

这很大程度上得益于它的优点:

  • 它在很多方面都更简单,主要是因为客户端不需要对基础设施做额外的更改;
  • 更便宜:防DDoS服务的订阅费用和流量成本都较低;
  • 服务连接速度更快 — — 只需几个小时;
  • 该方案为管理传出流量提供了更多的机会,允许客户端独立地从各个提供商中选择路线以减少延迟;
  • 因此,流量传输的延迟较低;
  • 非对称方案简化了 DDoS 传感器的使用;
  • 它允许同时使用多个 Anti-DDoS 提供商的服务;

反 DDoS 提供商也愿意实施非对称方案,因为它更容易实施和进一步扩展,而且成本较低——它需要更少的带宽和计算资源。

…但也更容易受到攻击

非对称保护方案的问题在于,对于许多 DDoS 攻击,它无法起到作用。例如 TCP 反射和随机 UDP 洪水等攻击。

TCP 反射攻击利用三步握手的特性建立 TCP 连接:攻击者发送一个伪造的 SYN 数据包(注意:说“带有 SYN 标志的伪造 TCP 段”是正确的,因为数据包是 IP 协议的一部分,而不是 TCP,但为了简单起见,我们将继续使用术语“数据包”),其中源 IP 地址被替换为受害节点的 IP 地址,其中包含许多其他节点的 IP 地址(它们被称为反射节点),并且它们向受害者发送 SYN+ACK 数据包。如果受害节点没有发送 ACK 数据包作为响应(反射节点上的 TCP 服务期望从中收到该数据包),则会再次发送 SYN-ACK 数据包 - 从而实现放大效果。只有同时分析传入和传出流量(即使用对称保护方案),才能 100% 过滤此类攻击。 StormWall 与大多数其他保护提供商不同,它拥有自己的非对称连接 TCP 反射过滤机制,可以将进入受害者的攻击数据包数量减少数十倍或数百倍,但会强制允许其中一部分,以检查连接的合法性,而不会剥夺受保护资源与互联网建立传出 TCP 连接的能力。此示例很好地说明了非对称连接方案的局限性,应始终牢记这一点。

随机 UDP 洪水攻击基于这样的事实:攻击者向不同的端口发送大量不同大小的 UDP 数据报(受害者通常是互联网提供商的公共 IP 池),而这些数据报的大小和端口是随机选择的。服务器会尝试确定哪个应用程序可以处理它们,如果找不到合适的应用程序(在发生洪水的情况下,绝大多数 UDP 数据报都会发生这种情况),它会发送 ICMP 目标不可达数据包作为响应。如果 UDP 数据报流足够大,那么受害者会将其所有性能都花在处理它们上。要过滤掉这种洪水,您需要分析传出流量,找出客户端实际请求了哪些 UDP 会话,然后仅跳过与这些会话相关的数据报。由于无法访问传出流量,因此几乎不可能过滤随机 UDP 洪水攻击,因此在这种情况下使用非对称方案的反 DDoS 服务提供商只是简单地调整(限制)传入流量。我们必须面对的这种攻击的更复杂的版本是,以更高的强度复制来自一个提供商的合法流量,并将目标 IP 替换为另一个(受攻击的)提供商的 IP。在这种情况下,源的 IP 地址和包的内容(有效负载)仍然完全合法,而过滤这种低强度攻击的唯一方法是使用对称连接。

为了防止这些和其他类似的 DDoS 攻击,非对称保护提供商必须使用各种技巧和窍门,但是,它们不能 100% 地保护受害资源,尤其是当涉及到互联网提供商流量时(如果公共 TCP 服务受到保护,那么您可以简单地将 TCP SYN+ACK 与 UDP 一起阻止,而不知道问题所在)。

对称方案:更可靠,但也更昂贵

与非对称保护不同,对称保护利用 TCP 协议的功能,可以非常轻松地过滤上述攻击:对称保护首先自行建立连接,如果成功建立,则将其传输到受保护的目的地。为了过滤 UDP 流量,对称保护不仅分析传入的 UDP 数据报,还分析传出的 UDP 数据报,并仅传递与先前打开的(或从过滤配置文件的角度合法建立的)UDP 会话相关的数据报。

对于许多其他类型的攻击,对称过滤方案的防护效果比非对称过滤方案好得多,因此,在 OSI 模型的 L7 级别连接关键应用程序和在线软件服务的保护时,我们公司 StormWall 通常会使用对称方案,并且始终使用它来保护存在 SSL 证书泄露的站点和应用程序。

当然,对称方案并不是理想的:其高可靠性的代价是更高的连接成本、DDoS攻击防御服务和流量的费用(因为传出流量的量通常比传出流量的量大约一个或两个数量级),以及(在受保护对象距离清洗点较远的情况下)传输数据包时更长的延迟。

选择什么取决于你的目标和要求

在对称和非对称保护方案之间进行选择时,重要的是考虑以下要求和因素:

  • 您需要与 DDoS 保护提供商合作来评估仅连接不对称保护的风险——它们与您的服务非常相关。
  • 您还需要考虑您准备让进入网络的流量:如果网络边界内的基础设施具有足够的性能,并且能够在某些攻击流量突破保护时保持可用性,那么您可以尝试采用非对称方案。
  • 此外,还需要评估您的互联网应用程序和在线服务对 DDoS 攻击的抵抗力。如果它们有足够的性能余量来应对未经过滤的非法流量部分,那么您可以尝试通过连接非对称保护来节省资金。如果应用程序性能对您至关重要,或者其余量很小,或者您无法控制它,那么您应该选择对称方案。

我们的建议

以下一些建议可以提高您的资源抵御 DDoS 攻击的能力。

  • 对不同 IP 或子网进行流量分析。将不同类型的受保护资源分开放置,可以让您提前保护自己免受各种威胁。例如,在包含网站的 IP 上,您可以首先关闭除 TCP 之外的所有协议,并禁止带有 SYN+ACK 标志的数据包,这将提高对各种攻击的安全性。同时,在包含 VDS 或 Internet 用户的 IP 上,不再可以轻松应用相同的限制。
  • 如果您决定使用非对称方案,还请考虑紧急启动对称方案的选项,以保护自己免受非对称方案无法应对的攻击。

总体而言,我们建议采取平衡的方法来选择流量过滤方案,以防范 DDoS 攻击。首先,我们强烈建议您仔细评估自己的风险,并在选择特定方案时将其考虑在内。

我们还认为,在严重的 DDoS 攻击开始时,有必要提前考虑行动计划,以便当攻击发生时,不要浪费时间思考,而是采取明确的步骤来最大限度地减少损失。

 

上一篇:第 95 个百分位数及其对防御DDoS攻击的价值
下一篇:服务器部署在非中国内地时的DDoS防护方案