浅谈如何架构完善的DDoS防御系统

DDoS攻击作为目前最凶猛、最难防御的网络攻击之一，影响范围非常广泛。腾讯安全云鼎实验室于近日正式发布《2018年游戏行业安全监测报告及五大攻击趋势》，在报告中指出DDoS攻击作为典型游戏行业黑色产业链的一部分，正威胁着游戏行业的安全。此外，从卡巴斯基实验室发布的第三季度全球DDoS攻击情况报告中可以看到，与2017年相比，DDoS攻击数量都有所增长，并且中国成为攻击次数最多的地方，占全球DDoS攻击总量的78%。因此架构完善的DDoS防御系统是维护网络及应用安全的重要前提。

　　DDoS攻击的增长对DDoS防御系统提出更高要求

在构建DDoS防御前，需要解决的一个问题是识别DDoS攻击。由于在互联网上有大量流量来自于机器人，其中包括好的机器人和恶意机器人，其中恶意机器人会利用机器人行为对业务发起DDoS攻击，有些攻击存在于第四层，绝大多数出现于第七层。尤其是七层DDoS攻击，我们看到它的流量行为和他的访问目标都是如此的像真实流量一般，这无疑就给DDoS防御提出了更高难度的识别要求。因此DDoS防御系统的首要目标，就是区分流量来源是机器人、DDoS攻击程序还是真实的访问用户，并在此基础上判断业务系统在什么状况下受到DDoS攻击，是因为流量很大吗？还是说是因为会话数很多？还是在某些其它维度可以表征出来？

以上提到的两个问题，现在市面上看到的大量基于七层的DDoS防御系统并没有很好地解决。因为这些传统的解决方案还是有不足之处，只有当流量特别大、session数变得非常高的时候才会启动DDoS防御。可是事实上，七层DDoS的攻击并不是传统的流量型攻击，她可能更多的是在于消耗我系统的应用层资源。举个最简单的例子，也许我的系统上有一百个对象，其中某一个查询的对象，它消耗的资源是其他页面资源的十倍甚至一百倍，所以对攻击者而言，我只要用1%的源去攻击这一个对象，就可以达成DDoS的目标。而整个的这个过程并不需要，也并不会出现海量流量的特征。所以我们说如何去区分，如何去判断系统受到攻击很重要。

面对DDoS攻击，F5架构了DDoS防御系统，DDoS Hybrid Defender 是唯一一个可对抗混合网络攻击和复杂应用攻击并支持完全 SSL 解密、反自动程序功能和高级检测方法的多层防御。除了在传统的设备，在流量网络中间去判断流量，会话，学习流量的特征，比如说带宽，请求数，会话数，URL等等之外，F5的DDoS防御系统还增加了一个维度，这个维度就是服务器的压力。当发现服务器的压力变得很大的时候，系统可能正受到DDoS攻击。F5的DDoS防御系统就会结合网络流量行为在进行综合判断，以确认当前是否存在DDoS攻击。此外F5的DDoS防御系统是基于行为分析，除了判断系统正在受到DDoS攻击之外，还要进行相应的动作。

　　F5架构了新型DDoS防御系统

可以用通俗易懂的话来理解F5的DDoS防御系统，这一系统不仅可以通过流量、会话，通过带宽的方式去压制DDoS攻击，也可以通过去校验每一个客户端是否存在真实的浏览器还是一个DDoS攻击，对每一个流量而言，防御体系需要去challenge它，需要给它做capture，从而进行人机的识别，以判断说当前对系统的访问，对系统的压力来自于异常的攻击工具，而非正常人访问。当这个防御体系发现说这些机器人并没有回应capture和 challenge的时候，会把这些流量干掉。这个时候既可以防范DDoS攻击也能保证正常用户的访问。

在F5架构的DDoS防御系统之中，除了对传统流量型的分析之外，还有对服务器压力的行为分析，这是一个比较大的创新。同时DDoS防御系统的判断手段还会更加多元，比如对整个攻击的指纹的判断、攻击工具的整体形象描绘等，最后使F5架构的DDoS防御系统达成使所保护的服务器和应用（中），能够免受到这类七层DDoS的攻击的目标。