3.2 网络空间安全策略分析

3.2.1 DDoS防御

DDoS（分布式拒绝服务）攻击通过巨大的流量拥堵带宽，造成业务中断。在金融系统中，业务中断会造成巨大的资金损失，还需要上报相应的监管机构。根据攻击流量的规模，可以将DDoS防御划分为三个层次：数据中心级近目的清洗、云清洗以及运营商清洗（见图3.5）。

图3.5 DDoS防御

数据中心自建抗DDoS系统能够解决不高于自身带宽的流量攻击（见图3.6）。带宽较大的企业会采取这种方案，能够在一定程度上处理部分攻击。企业可以采购一套抗DDoS设备，此类设备一般分为流量检测和流量清洗两部分。通过结合路由配置，抗DDoS设备在攻击发生时可达到检测、牵引、清洗、回注的效果。

图3.6 数据中心自建抗DDoS系统

自建抗DDoS系统的局限在于数据中心的带宽，当攻击流量超过其拥有的带宽时，就必须要借助外部的力量。企业可与具备抗DDoS能力的云安全厂商建立关系，形成云防护抗DDoS机制。云防护抗DDoS主要是通过修改域名CNAME记录，将流量导到云上进行清洗，完成后再返回到企业的数据中心。由于国情限制（比如不支持任播机制、小运营商众多），通过DNS牵引的方式在历经较长时间后才会生效，DNS缓存刷新周期时间不可控，在这期间只能等待。

若企业规模足够大，除了与云安全厂商合作，也可直接采购运营商的抗DDoS防护方案，比较典型的是“电信云堤-抗D”。“电信云堤-抗D”除了能提供云防护厂商修改CNAME对流量进行牵引的功能外，还有另外两种独有的DDoS防护方式：近源清洗和流量压制。在IDC自建抗D系统对攻击流量进行清洗属于近目的清洗（见图3.7），攻击流量已经到达目的网络。而近源清洗（见图3.8）通过位于攻击源就近的防护节点对流量进行清洗，到达目的网络的恶意流量基本被清洗掉了。

图3.7 近目的清洗

图3.8 近源清洗

无论是DC级的近目的清洗、云清洗，还是运营商清洗所使用的检测策略和清洗策略，基本方式是一样的。DDoS攻击主要发生在TCP/IP协议的第四层和第五层，在清洗时首先需要识别出攻击特征，并且要尽可能减少对正常业务的影响。DDoS攻击与正常流量相比有某些异常特征，包括IP发包频次异常、协议异常、请求异常等。如2018年3月发生的利用Memcached服务器实施反射放大攻击，其攻击特征就很明显，因此可直接对UDP协议且端口号是11211的包进行封禁。针对第四层TCP层面的泛洪攻击，除了在协议层进行调整外，可封禁那些高频次发起TCP请求的IP。CC（Challenge Collapse，挑战黑洞）攻击是一类比较典型的应用层DDoS，这类攻击主要会消耗计算资源，可根据实际情况分析攻击点，然后对具体的API进行总体限速，也可对每个IP进行限速，在防御的同时也尽可能保证业务的连续性。在实际情况中，也可能同时存在多种DDoS攻击类型，因此在清洗时也要组合使用多种方式。