HTTP Flood防御

HTTP Flood抨击打击防御主要通过缓存的体例进行，尽可能由设备的缓存直接返回成果来庇护后端业务。年夜型的互联网企业，会有庞年夜的CDN节点缓存内容。

当高级抨击打击者穿透缓存时，清洗设备会截获HTTP请求做特殊措置。最简单的体例就是对源IP的HTTP请求频率做统计，高于一定频率的IP地址插手黑名单。这种体例过于简单，容易带来误杀，并且无法屏蔽来自代办署理办事器的抨击打击，因此逐渐废除，取而代之的是JavaScript跳转人机识别方案。

HTTP Flood是由法度模拟HTTP请求，一般来讲不会解析办事端返回数据，更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时，返回一段特殊JavaScript代码，正常常使用户的阅读器会措置并正常跳转不影响使用，而抨击打击法度会抨击打击到空处。

DNS Flood防御

DNS抨击打击防御也有近似HTTP的防御手段，第一方案是缓存。其次是重发，可以是直接抛弃DNS报文致使UDP层面的请求重发，可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。

特殊的，对授权域DNS的庇护，设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用，在抨击打击时，非此列表的请求一律抛弃，年夜幅下降性能压力。对域名，实行同样的域名白名单机制，非白名单中的域名解析请求，做抛弃措置。

慢速毗连抨击打击防御

Slowloris抨击打击防御比较简单，主要方案有两个。

第一个是统计每个TCP毗连的时长并计较单位时间内通过的报文数量便可做切确识别。一个TCP毗连中，HTTP报文太少和报文太多都是不正常的，过少多是慢速毗连抨击打击，过量多是使用HTTP 1.1协议进行的HTTP Flood抨击打击，在一个TCP毗连中发送多个HTTP请求。

第二个是限制HTTP头部传输的最年夜许可时间。逾越指按时间HTTP Header还没有传输完成，直接判定源IP地址为慢速毗连抨击打击，中断毗连并插手黑名单。

企业级防御

互联网企业防御DDoS抨击打击，主要使用上文的根本防御手段，重点在于监控、组织以及流程。

监控需要具有多层监控、纵深防御的概念，从主干网络、IDC入口网络的BPS、PPS、协议散布，负载平衡层的VIP新建毗连数、并发毗连数、BPS、PPS到主机层的CPU状态、TCP新建毗连数状态、TCP并发毗连数状态，到业务层的业务措置量、业务连通性等多个点摆设监控系统。即便一个监控点失效，其他监控点也能够实时给出报警信息。多个点信息连络，准确判断被抨击打击目标和抨击打击手法。

一旦发现异常，当即启动在虚拟防御组织中的应激流程，防御组织需要囊括到足够全面的人员，至少包含监控部分、运维部分、网络部分、平安部分、客服部分、业务部分等，所有人员都需要2-3个备份。流程启动后，除人工措置，还应该包含一定的自动措置、半自动措置能力。例如自动化的抨击打击阐发，确定抨击打击类型，自动化、半自动化的防御策略，在平安人员到位之前，最先发现抨击打击的部分可以做一些减缓办法。

除DDoS到来之时的流程等工作之外，更多的工作是在抨击打击到来之前。主要包含CDN节点摆设、DNS设置、流程演习等。对企业来讲，具有多个CDN节点是DDoS防御容量的关头指标。当一个机房承担不住海量数据时，可以通过DNS轮询的体例，把流量引导到多个散布节点，使用防御设备分头措置。因此DNS的TTL值需要设置得足够小，能够快速切换，每个CDN节点的各类VIP设置也需要准备充分。

在虚拟化时代，各类用户的不合业务共处在相同的物理机平台，遭受DDoS抨击打击的可能性越来越高，并且一个用户被抨击打击可能牵扯到年夜量的其他用户，危害被显著放年夜，因此防御显得尤为重要。阿里云的虚拟化业务，平均每天遭受约20起DDoS抨击打击，最年夜流量达到接近20Gbit/s，所有这些抨击打击都在15分钟内自动措置完成，让客户远离DDoS的威胁，专心成长业务。

总地来讲，对DDoS防御，主要的工作是幕后堆集。台上十分钟，台下十年功，没有充分的资源准备，没有足够的应急演练，没有丰富的措置经验，DDoS抨击打击将是所有人的恶梦。

作者：魏兴国，阿里巴巴团体高级平安专家，主要负责阿里云虚拟化业务平安，以及团体范围的网络平安策略。

文章来历：《法度员》杂志