关于DDoS流派

DDoS属于资源消耗型的攻击，要么是消耗带宽资源，要么是消耗计算资源，如果是某黑客利用漏洞入侵了系统，把服务器ShutDown了，这不该是抗D探讨范畴，这需要安全的另一个分支IPS去搞。

作为一枚圣斗士粉，小黑羊用下面两张动图来给DDoS分类，非常形象，不了解圣斗士的85后小朋友请自行百度>>

　　来自星矢的天马流星拳，代表流量型的DDoS攻击。

星矢把小宇宙发挥到极限，不断提高出拳速度和力量，让对手应接不暇，最终被打倒。

流量型DDoS属于用牛蛮之力消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器。

不过最近涌现的流量型DDoS不止会用蛮力，比如DNS、NTP反射攻击，可以将流量放大数百倍，达到四两拨千斤的攻击效果。

　　来自米罗的猩红毒针，代表应用层DDoS攻击。

天蝎座黄金战士米罗利用对手缺陷，直接打击要害部位，如点穴一般，令对手失去战斗能力。

应用型DDoS走的是巧劲，利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求，典型的如CC攻击。

关于DDoS的本质

DDoS本质上讲是在“局部”造成压倒性的资源消耗。

这个局部，可能是一台服务器、一个数据中心出口甚至是一个运营商的网络，而攻击者在某一时段、某一情境下，依靠“提升小宇宙”，集众成群，积小成大，对这个“局部”形成了压倒性的资源优势，于是，攻击就发生了。

　　局部以多打少

在“局部”造成压倒优势，拼的不是总体兵力，而是兵力调度和整合能力，“局部”可以大到运营商骨干网，比如著名的暴风影音519事件，就曾经DDoS了大半个中国的电信网络。

当前DDoS攻击态势什么样？

世界上没有无缘无故的爱，也没有无缘无故的恨，DDoS不是无根之水，任何一次DDoS，几乎都与经济利益和政治利益相联系的。

如果你受到了攻击，首先要想想，你动了谁的奶酪。

我们看看流量都来自何方>>

　　上图来自中国电信云堤对DDoS的监测统计，可以读出一些内涵。

凡是发起攻击的人都不希望被抓到，所以，他们最初的攻击都是用虚假地址。

假IP如同假身份证

但中国电信全网在12年已经启用了虚假地址检测技术（基于uRPF LOOSE模式外加ACL，虚假IP地址占比低于2‰），坏人当然不愿意采用真实地址攻击，也不愿意暴露自己肉鸡的踪迹，所以，在13年的饼图里，来自互联互通的攻击流量占比增高。

而互联互通的流量主要来自中国联通，到了2014年，联通也启用了虚假地址检测，所以，坏人只能到国外发展肉鸡，来自联通的攻击流量锐减，而国际攻击流量暴涨到四成。

今年的数据，国际攻击流量仍然维持在四成左右，“敌对势力”忘我之心不死啊。

再看看DDoS攻击的流量增长趋势>>

　　点击查看大图

上图仍然是来自云堤的监测数据，从13年1月到15年9月，攻击流量的整体增长趋势非常明显，其中7月份单月攻击流量总和接近35000TBytes，这个趋势与CERT的统计是一致的。

最后看DDoS攻击的行为趋势>>

　　点击可查看大图

这是从去年7月到今年6月两个半年区间的攻击峰值占比对比，可以看到一个明显的变化，那就是高流量的攻击在增长，尤其是峰值流量大于100Gbps的攻击，今年上半年是去年的三倍还多！其中大于200Gbps的攻击平均每天有2.8次！

　　点击可查看大图

在DDoS的攻击类型上，趋向于多元化混合攻击，攻击时长又增加的趋势，有6%的攻击持续超过6小时。

云堤抗D方案什么样？

先讲三个核心观点>>

第一个观点：抗D服务是一种缓解方案，而不是一种治愈方案，它可以缓解DDoS对业务的影响，而不是彻底根除DDoS攻击，Mitigation not Clean。

第二个观点：没有哪一种抗D服务是包打全能的，需要根据实际情况灵活应对，必要时采取多种组合，任何宣称完美抗D解决方案的都是耍流氓。

第三个观点：即便所有组合方案全上，抗D服务也不可能完全实现自动化，有必要的人工干预、定制策略才能更好实现抗D效果，尤其是混合型攻击、应用层攻击。

一句话，三观不可不清！

在上期《十全大补帖》 里，小黑羊已经介绍了各大抗D服务阵营，这次重点聊聊电信云堤。

运营商作为管道侧的特殊角色，形成了抗D服务的差异化。

我们把抗D服务分为三个过程：监测、防护和溯源。

①监测：

监测是防护的前提，云堤的对DDoS的监测基于中国电信IP承载网里的上千台骨干路由器，利用NetFlow技术，可以使用NetFlow包含的所有字段组合，但最常用的还是五原组。

主要根据pps/bps设定的阈值进行DDoS流量的监测，你会不会觉得仅仅基于这点儿阈值策略来监测过于简单粗暴了？

其实在大规模网络中这是最有效最合理的手段，任何看上去完美周详的方案反而在大网中不具备可操作性。

由于NetFlow本身的响应局限，这种DDoS检测技术是分钟级的，当然如果在目的段增加监测设备，对特服客户实现定制化的秒级监测也是可能的。

基于上述手段，云堤可以对全网范围的DDoS攻击情况进行准确测度，这对研究攻击趋势、制定防范策略非常重要，上面引用的图表趋势都来自云堤的监测数据。

②防护：

云堤的防护手段有两种，压制和清洗。

压制就是封堵攻击源，或者对来自攻击源的流量进行限速处理，基于路由黑洞（RTBH）、FLow-Spec和QoS来实现，压制策略基于BGP路由动态下发，7秒钟就可以完成策略更新。

由于自身网络特点，云堤能够实现近源压制，压制是抗D的一种非常有效的手段，但缺点是会对来自被压制方向上的访问进行无差别处理，正常的访问请求也会受到影响。

近源的优势是可以就近封堵，把攻击流量限制在最起点，如果攻击流量打到了家门口，那就什么都来不及啦。

　　三种压制手段和三个压制方向

清洗就是将攻击流量识别并剔除，将正常流再回注到目的站点，同样，云堤也是基于网络的近源清洗。流量基于BGP实现秒级牵引，比DNS牵引的响应速度更快，全网26个清洗节点200余台骨干路由器参与，利用BGP AnyCast路由可以指哪牵哪。

牵引--清洗--回注的流程不再赘述了，云堤的牵引带宽是独享的，不会占用业务带宽，而且可以ChinaNet牵引，CN2回注，最大限度保障业务带宽独立性，也可以避免传统GRE回送带来的MTU错误问题。

③溯源：

溯源也是抗D服务不可或缺的一部分，相信每个被“D”到的同学都想知道到底是谁在搞我呀，不能被搞得不明不白忍气吞声呀，我一定要给丫点Color See See。

云堤的溯源功能基于NetFlow的Input Index和全网拓扑结构信息来完成：即，我知道攻击流量是从路由器的哪个接口打进来的，同时我又知道路由器位于网络的那个位置，按图索骥就可以了，不管你源地址是不是伪造的，全部无视，直接从设备层面抓到坏人。

而常规的溯源手段基于GEO IP地址库，如果攻击者用了伪造地址，那就很难追查了（除了360，因为人家有遍布大量PC端的安全卫士，也可以精准溯源）。

当然云堤的溯源仅限于电信全网，对于跨网的攻击只能追溯的边界路由器，剩下的就是对端运营商的事情了。

抗D方案究竟哪家强？

孰强孰弱有定论吗？没有。

其实在上面的“三观”已经说明了一些问题，抗D没有一招鲜！

云堤的优势

电信云堤在抗D的三个层面（监测、防御、溯源）是具有客观优势的，这种优势不是因为电信的安全研发和技术有多么牛X，而是运营商的网络角色使然。

像我们之前提到的互联网系、CDN系、设备商系都不可能拥有运营商的网络资源，没条件去做近源型的抗D服务，而对于流量型攻击和源站IP型攻击，近源抗D无疑是最有效的。

云堤的局限

1、成也网络，败也网络。如果在跨网的环境下（其他运营商客户），监测、防御和溯源都会大打折扣，比如用户在其他运营商的地址被攻击，云堤就无能为力了。所以我们倒是希望中国乃至全球的运营商联合起来，共同筑堤抗D。

2、对于脉冲型DDoS攻击，近源方式也是无解的，因为近源方式依赖BGP路由更新（当然，白名单不算，这是万不得已的方法）。近目的防御对付脉冲型攻击比较有效。但就当前的网络环境，想要发动脉冲型攻击也绝非易事。

3、云堤的市场化程度较低，尚无成熟的价格体系，销售模式也主要依赖电信政企客户部门。与目前已经SaaS化的互联网系、CDN系相比，差距很大，只适合于大B定制化服务，对C类或者小B客户，门槛较高。

　　更新一下以前对比表

既然抗D没有一招鲜，那么用户在选择抗D服务的时候，就需要根据情况综合考虑，而对于各大阵营来讲，也应该是竞合关系，而非你死我活的竞争。

无论云服务商、CDN服务商还是抗D设备商，都可以利用一下运营商的网络先天优势，形成互补：本地端、系统端、云端参与攻击检测，然后通过云堤API接口，调用云堤的抗D功能，把运营商网络的近源防御功能与自身抗D功能相结合，实现立体化防御。

联合起来的抗D，才是最强抗D！