企业安全体系架构分析：抗DDoS解决方案.docxVIP

企业安全体系架构分析：抗DDoS解决方案 一、文章大纲 1.什么是DDoS 2.DDoS原理 3.DDoS类型及特征 4.抗D解决方案前提明确 5.如何与公司高层谈论抗D方案重要性 6.部分DDoS类型的防范 7.抗D清洗三方如何选用 8.咨询（尾部附作者微信二维码供读者进行免费安全建设咨询） 二、本文章主旨 本文章意在阐述如何向高层出具抗DDoS方案，出具抗DDoS方案时应该注意的点与怎样做出的抗D方案更能说服高层同意执行。文章更多偏向于企业管理，会讲述部分基础DDoS攻击类型与基础防御，但不做技术层面的深究。适用于中高层安全管理人员、甲方安全建设人员阅读。 三、正文 这次来讲讲抗DDoS的解决方案建设。为什么从之前的将WAF跳到今天将抗D，因为在这淡出的一段时间中，没少跟大流量打交道，我所在的公司又是一个互联网金融公司，被D之后交易流量受到很大影响，造成的损失也是相当惨重。下面本文就将讲述如何向公司高层提出优质的抗DDoS方案建议。 闲话不说了，先需要与高层讲一下什么是DDoS。 ddos的定义 分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 以上是百度百科的官话，翻译成普通话就是很多台客户端同时对服务器进行大流量的访问，导致以下几种可能： 1.业务带宽跑满造成正常交易流量无法进行 2.大流量冲击造成服务器IP被运营商拉入黑洞，所有客户端无法访问 3.大流量冲击造成服务器负载飙升，服务器瘫痪 在所有的DDoS中，大流量是特性，当然这其中并不包括利用漏洞溢出的DoS攻击，比如蓝屏攻击、针对IIS的MS15-034等，这种攻击需要在系统和组件层面做防护，比如打补丁或启用安全风险识别拦截产品，比如WAF等。那么如何区分大流量中的恶意流量和正常流量则成为解决方案的重点。 抗D方案出具的前提与高层认知 首先在本解决方案出具前，我和高层讲述DDoS攻击的事故分析时特意强调了一些内容，这些内容是所有人必须达成一致的，否则将不需要考虑如何解决DDOS攻击引起的业务灾难： 由于DDoS属于流量洪水攻击，防御DDoS是需要将流量洪水全部吃下，然后进行内部筛选过滤，对于清洗中心的服务器集群性能与带宽要求极高，一般企业无法承担自建清洗中心的任务，需要借助运营商的力量。并且由于云上特性，边界防火墙不可控，只能通过域名解析的方式进行三方接入。 强调分析： 1.抗DDoS需要能扛得住峰值流量 2.数据清洗要求服务器性能极强，能快速处理峰值流量并完成分析过滤功能 3.云上边界防火墙不可控，在流量还没有到达前置负载时运营商和云厂商的边界防火墙会直接把前置LB拉入黑洞，所以如果在云上做防御，流量不能直接经过云 在与高层进行方案核对谈判的时候一定要注意以下几点： 1.高层眼中安全负责人就要低成本甚至0成本负责整体安全事件处理 2.安全事件一旦发生，无论现实是否是安全负责人可以解决的事情，责任都是安全负责人的 3.一旦发生成本损耗，一定要让高层知道安全负责人在能满足需求的情况下尽力节约成本 4.高层所在意的事情是平衡投入与产出，所以需要提前做好资损估算与投入产出比 高层认知的止损算法 在这里给大家介绍一个算法 年度损失期望（ALE）=资产价值（AV）*暴露因子（EF）*年度发生概率（ARO） 举个例子，一个交易系统一年能够带来1000W的收入，那么资产价值就是1000W，一旦发生DDoS事件，则损失将会是100%，甚至导致后续交易用户不信任的问题，则损失将会是100%以上，年度发生概率结合实际情况，在这里举一个0.4%的例子，那么ALE=4W，即为每年遭受2次的DDoS攻击，损失即在4W以上（一次攻击黑洞封锁24小时，即1次攻击为1天的损失）。 在此一定要跟高层强调止损，比如如果我们每年在三方清洗上投入为20W，那么一旦发生DDoS攻击，对方只要一年攻击我5次以上，都是我们的止损值，另外要和高层强调的是攻击原理，并不是我们在技术能力上不能防御，而是条件不允许（参考强调分析）。 常见DDOS攻击类型与防御 以上是一些方案要点，之后介绍一下DDoS攻击的类型。在此重点注意要与高层强调本次发生（或预防）的攻击是何种DDOS类型，因为如果高层决定0投入去做防御的话，一定要声明哪种可以防，什么情况可以防，哪种是放弃式防御。 常见的DDoS包括synflood、icmpflood、ping of Death、udpflood、CC等，其中ping of Death在中美黑客大战中还被评论为经典