简述DDOS防御步骤

DDOS是替代DOS攻击之后的新型的攻击方式，DDOS攻击已经成为了主流的攻击模式。那么如果企业安全管理员发现企业网络受到DDOS攻击时，应该果断采取措施。那么如何进行DDOS防御呢？本文将为您简述一下DDOS防御的几个步骤。

1、首先检测到有DDOS发生，并了解到victim。

2、Guard发送BGP通告到远端路由器（在victim的BGP通告设置前缀，并得到比原始BGP通告更高的优先权），表示从远端路由器到victim有新的路由，并且路由到Guard的loopback interface，所有到victim的都经过附属路由器转移到了Guard上。

3、Guard检查流量，并且清除其中的攻击流量，然后把安全的流量转发到附属路由器上，在回到victim其中核心就是Guard，技术就是白皮书中描述的MVP架构（Multi-Verification Process），也就是下面5个层次过滤(Filtering) ：这个模块包含静态和动态的DDOS过滤。静态过滤，拦截non-esse ntial流量，可以是用户定义的，或者是riverhead默认提供的。动态过滤则基于行为分析和流量的细节分析，通过增加对可疑流量的确认或拦截已经确认的恶意流量，来进行实时更新反欺骗(Anti-Spoofing)：这个模块验证进入系统的数据包是否被欺骗的。Guard使用了独有的、有专利的源验证机制来避免欺骗。也通过一些机制来确认合法流量，消除合法数据包被抛弃异常检测（Anomaly Recognition）：该模块监视所有没有被过滤和反欺骗模块抛弃的流量，将流量同平常纪录的基线行为进行比较，发现异常。基本原理就是通过模式匹配，区别来自black-hat和合法通讯之间的不同。该原理用来识别攻击源和类型，而且提出拦截这类流量的指南。

异常检测包括： 攻击流量速率大小 包大小和端口的分布 包到达时间的分布 并发流量数 高级协议特征 出、入的速率 流量分类： 源IP 源端口 目的端口 协议类型 连接量（每天、每周） 协议分析（Protocol Analysis）：本模块处理异常检测中发现的可疑的应用方面的攻击，比如http攻击。协议分析也检测一些协议错误行为。

流量限制（Rate Limiting）：主要是处理那些消耗太多资源的源头流量。

所以，实际上最主要的内容就是异常检测中的统计分析，但是从上面看似乎没有多少特别的地方，但是，一定有很好的算法。比如FILTER，实际是对付一些很熟悉的有明显特征的攻击，反欺骗，就是对付syn flood这样的，说不定也是一个syn cookie模块，，但也许有更专利的技术。

协议分析其实应该来说就比较弱了，但可以针对一些常见协议中的特定攻击，检测识别一些协议错误行为只是协议校验，这个很简单。流量限制则就是一种随机丢包，最无奈的办法，所以也是最后一个层次了。

因为这个产品主要是作Mitigation的，而不是ip traceback。但是可以判定还是有重要的问题，比如：

1、如何对付真正的bandwidth flood。如果路由器是千兆的，但是，攻击流量已经占了90%，只流下10%让合法使用，路由器已经先与Guard开始进行随机丢包了。（没办法，这是所有防御技术的瓶颈）

2、真正的攻击。真正的攻击是很难或者无法识别的。比如，基本跟正常形式一样的，如果和统计数据很接近，那么很难区别出来。还有一些攻击，比如反射式的邮件攻击等，这是完全合法的，但是很难分类出来。