要怎么防，才更有效（原创），如转载请注明锐速云

　　1.事件背景

　　从2017年6月15日起，“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索，现已有超过6家金融证券类企业遭受DDoS攻击勒索，且其中4家已经遭受了大规模的DDoS攻击，攻击流量从2G到20G不等，对企业网络产生了非常严重的影响。而“无敌舰队”组织声称如果企业不按邮件要求按时支付比特币，将进行持续的大规模流量攻击（该组织声称攻击流量可超过1T），并逐步提高勒索比特币数额。

　　这其实并不是该组织第一次行动了，早在2015年12月，“无敌舰队（Armada Collective）”就开始对中国境内的互联网企业实施同样手法的DDoS攻击的勒索。

　　本次事件收到的勒索邮件内容如下：

　　现在T级的攻击已经是很常见的事情

　　2.DDOS防护应急手段

　　针对本次DDoS攻击事件，下面就目前市场上主流的DDoS防护应急手段，按其差异性和适用场景做了简要对比。

　　常规的DDoS防护应急方式因其选择的引流技术不同而在实现上有不同的差异性，主要分成以下三种：

　　1.  用户本地DDOS防护设备；

　　2.  运营商清洗服务；

　　3.  云清洗服务+定制CC防护策略

　　三种类型的DDoS防护应急手段引流方式的原理：

　　了解引流技术原理后，简要阐述各种方式在DDoS应急上的优劣：

　　本地DDoS防护设备：

　　本地化防护设备，增强了用户监控DDoS监控能力的同时做到了业务安全可控，且设备具备高度可定制化的策略和服务，更加适合通过分析攻击报文，定制策略应对多样化的、针对性的DDoS攻击类型；但当流量型攻击的攻击流量超出互联网链路带宽时，需要借助运营商清洗服务或者云清洗服务来完成攻击流量的清洗。这个对DDOS防护是没意义的。

　　运营商清洗服务：

　　运营商采购安全厂家的DDoS防护设备并部署在城域网，通过路由方式引流，和Cname引流方式相比其生效时间更快，运营商通过提清洗服务方式帮助企业用户解决带宽消耗性的拒绝服务攻击；但是运营商清洗服务多是基于Flow方式检测DDoS攻击，且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型CC攻击类型检测效果往往不够理想，此外部分攻击类型受限于防护算法往往会有透传的攻击报文，此时对于企业用户还需要借助云防护提供的定制化CC特征码来过虑CC连接数，否则用户后端服务器负荷过重，引起网站数据库打开慢。

　　云清洗服务+定制CC防护策略：

　　云清洗服务使用场景较广，当使用云清洗服务做DDoS应急时，为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题，通常情况下还需要企业用户配合做业务地址更换隐藏、Cname引流等操作配置，保护好源IP不直接受。另一方面对于HTTPS Flood防御，当前云清洗服务需要用户上冲击，传HTTPS业务私钥证书，也可以不用上传证书通过四层发，可操作性强，云防护节点可定制精准特征码防CC攻击，让客户可达到误伤率0%。

　　对比了三种方式的不同和适用场景，我们会发现单一解决方案不能完成所有DDoS攻击清洗，推荐企业用户在实际情况下可以组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务，实现分层清洗的效果。针对金融行业，更推荐的组合方案是本地DDoS防护设备+运营商清洗服务+云防护定制CC防护策略。对于选择云清洗服务的用户，如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台，需要做好备用业务IP地址的更换预配置（新业务地址不可泄露，否则一旦被攻击者获悉将会失去其意义），就是平时用一套IP，当受到攻击时，随时可以启用另一套IP供回源。

　　以上三种方式，缺少云清洗服务，有CC攻击时对用户体验会差很多，

　　最佳方式是：运营商清洗服务+云清洗服务+定制CC防护策略，防住流量同时，把连接数也一并解决。

　　抗DDOS是全方位的抵抗：NTP放大协议攻击，UDP攻击，IMCP攻击，SYN flood攻击，syn碎片攻击，TCP flood攻击，ssdp攻击，dns resp攻击。这些是全面阻挡的。即便每秒发动400G以上攻击，对网站基本无任何影响。。可以联系我们进行免费测试体验。

　　
网站的防护策略非常复杂，说几句也说不清楚，因为太多策略了，第一个要求就是必须被任何类型cc攻击都不能出现验证码，长尾巴什么的。有的防护商很聪明，采用各种跳转验证什么的，其实这样的策略大大降低了用户体验度，甚至某个知名CDN商居然采用5秒验证，这些其实都是非常体验网站用户在线访问体验的，很多用户发现经常遇到这样的情况，基本下次都很难在停留在这个页面上继续访问。而且现在的cc基本都是cc变种 变异过的cc攻击。已经不在像以前那样都是纯碎的刷大量请求的那种普通的cc攻击了。基本都是每隔几天就有一个新的cc攻击，尤其是有的用户域名太多太多了，不是这个域名有攻击，就是那个域名有攻击。每天都能遇到各种各样的专门搞攻击的人在攻击。。基本天天都能遇到新的变种cc攻击，这些都是最能考验防护商的灵活性和实战技术的全方位考验。。但是cc万变不离其宗，无论cc攻击的代码特征编写的有多巧妙，那就是他必须得访问你的域名，去消耗你的域名，无论他过程是什么样的，他的目的都是让这个域名瘫痪。那么过程就分2种人，一种是正常合法的访问，一种是带着极高技巧的机器人来访问，其实就是肉鸡。无论怎么隐藏。怎么模拟，怎么绕开防护机制，如何伪装的和用户一样，但他还是肉鸡。无法替代真正人真实访问的本质。

　一般的防护都会被这种cc给直接打死节点IP 打死源ip。

　　 cc攻击基本都是围绕这几个特征，还有很多其他特征我就不一一列举了。现在还有cc还带着cc floud的最新cc攻击，就是一边cc 还能一边发包穿透死节点IP。所以cc和防ddos不一样，ddos直接硬防，他属于第四层协议防护机制。不难。精准锁定攻击的策略来做规则 可以完全做到%100零屏蔽  零误封。如果你现在有正在被攻击的网站或者客户端，你大可以交给我们帮你处理。无论多大攻击规模都均可提供免费体验测试。希望锐盾防护网络能为你解决更多的难点。

　　3.DDOS防护实践总结

　　我司DDoS攻防工程师总结的经验，企业客户在DDoS防护体系建设上通常需要开展的工作有：

　　应用系统开发过程中持续消除性能瓶颈，提升性能

　　通过各类优化技术，提升应用系统的并发、新建以及数据库查询等能力，减少应用型DDOS攻击类型的潜在危害；

　　定期扫描和加固自身业务设备

　　定期扫描现有的网络主节点及主机，清查可能存在的安全漏洞和不规范的安全配置，对新出现的漏洞及时进行清理，对于需要加强安全配置的参数进行加固；

　　确保资源冗余，提升耐打能力

　　建立多节点负载均衡，准备好电信，联通，移动，三个方向的强大防护资源，配备多线路高带宽，配备强大的运算能力，借此“吸收”DDoS攻击；随时到会有攻击，保持有一组备份Ip是平时没有启用的，一发现攻击，随时可以启用备用方案。

　　 服务最小化，关停不必要的服务和端口

　　关停不必要的服务和端口，实现服务最小化，例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率；

　　 选择专业的产品和服务

　　三分产品技术，七分设计服务，除了防护产品本身的功能、性能、稳定性，易用性等方面，还需要考虑防护产品厂家的技术实力，服务和支持能力，应急经验等；

　　多层监控、纵深防御

　　从骨干网络、IDC入口网络的BPS、PPS、协议分布，负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态，到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效，其他监控点也能够及时给出报警信息。多个点信息结合，准确判断被攻击目标和攻击手法；

　　完备的防御组织

　　囊括到足够全面的人员，至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等，所有人员都需要2-3个备份

　　明确并执行应急流程

　　提前演练，应急流程启动后，除了人工处理，还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析，确定攻击类型，自动化、半自动化的防御策略，在安全人员到位之前，最先发现攻击的部门可以做一些缓解措施。
    假设来攻击了，哪种方式切换最快与有效，提前演练好切换的整个过程，列出可能存在的因素，

　　总结

　　针对DDoS防御，主要的工作是幕后积累，在没有充分的资源准备，没有足够的应急演练，没有丰富的处理经验，DDoS攻击将会造成灾难性的后果。
   同时，防护商要有足够的资源调度，如联通，电信，移动方向的防护资源，随时调度解决用户互通之间问题，通过BGP回源通信。