网络安全—如何从 IP 源地址角度，预防 DDoS 攻击？

从 1966 年分布式拒绝服务（DDoS）攻击诞生至今，便一直困扰着网络安全，尤其是随着新技术的不断催生，导致 DDoS 攻击结合新技术演变出多种类型。DDoS 攻击作为黑灰产的手段之一，使许多企业与国家蒙受巨大损失。

爱沙尼亚网络战

2007 年 4 月，爱沙尼亚遭受了大规模 DDoS 攻击，黑客目标包括国会、政府部门、银行以至媒体的网站，其攻击规模广泛而且深纵，这次袭击是为了回应与俄罗斯就第二次世界大战纪念碑「塔林青铜战士」的重新安置引发的政治冲突。事件在国际军事界中广受注目，普遍被军事专家视为第一场国家层次的网络战争。

攻击的第一次高峰出现在 5 月 3 日，当天莫斯科爆发最激烈的反抗。另一次高峰是 5 月 8 日和 9 日，欧洲各国纪念战胜纳粹德国，攻击同步升级，最少六个政府网站被迫停站，当中包括外交和司法部。最后一次攻击高峰是 15 日，该国最大的几家银行被迫暂停国外连线。爱沙尼亚两大报之一的《邮政时报》的编辑直指：“毫无疑问，网攻源自俄罗斯，这是一次政治攻击。”但俄罗斯多次否认与事件有关，并抨击爱沙尼亚虚构指控。这次攻击导致了网络战国际法的制定。

最大的 DDoS 攻击——GitHub 遭受攻击

GitHub 吉祥物

迄今为止，最大的 DDoS 攻击，发生在 2018 年 2 月。这次攻击的目标是数百万开发人员使用的流行在线代码管理服务 GitHub。在此高峰时，此攻击以每秒 1.3 太字节（Tbps）的速率传输流量，以每秒 1.269 亿的速率发送数据包。攻击者利用了一种称为 Memcached 的流行数据库缓存系统的放大效应。通过使用欺骗性请求充 Memcached 服务器，攻击者能够将其攻击放大约 50,000 倍。

幸运的是，GitHub 正在使用 DDoS 保护服务，该服务在攻击开始后的 10 分钟内自动发出警报。此警报触发了缓解过程，GitHub 才能够快速阻止攻击。最终，这次世界上最大的 DDoS 攻击只持续了大约 20 分钟。

国际知名公司 NETSCOUT 公布其调查报告结果显示，2021 年上半年，网络罪犯发动了约 540 万次分布式拒绝服务（DDoS）攻击，比 2020 年上半年的数字增长 11%。

分布式拒绝服务(Distributed Denial of Service， DDoS)攻击针对网络设施的缺陷，攻击者可以伪造 IP 地址，间接地增加攻击流量。通过伪造源 IP 地址，受害者会误认为存在大量主机与其通信。黑客还会利用 IP 协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使合法用户无法得到正常服务。伪造 IP 地址发动攻击的成本远远小于组建僵尸主机，且技术成本要求较低，使得伪造 IP 地址发动 DDoS 攻击在及其活跃。鉴于分布式拒绝服务(Distributed Denial of Service， DDoS)攻击分布式、欺骗性、隐蔽性等特点，造成追踪和防范难度大。攻击原理及特点可点击此链接，查看本篇文章https://www.toutiao.com/i7023179182515634701/）

随着技术的不断进步，攻击源追踪技术已经在追踪速度、自动化程度、追踪精确度等方面取得显著进步， DDoS 网络层攻击检测也分为多种方式。那要如何从 IP 源地址角度预防 DDoS 攻击呢？

当 DDoS 攻击发生时或结束后，可以根据相关信息定位攻击的来源，找到攻击者的位置或攻击来源。IP地址来源定位它是 DDoS 攻击防御过程中的重要环节，并在其中起到承上启下的关键作用。精准的 IP 地址定位结果既可以为进一步追踪真正攻击者提供线索，也可以为其他的防御措施，如流量限速、过滤等措施提供信息，还可以在法律上为追究攻击者责任提供证据。

基于 IP 源地址数量及分布变化来看，根据《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》研究报告显示，DDoS 为了隐藏攻击，攻击者会降低攻击速率，使攻击流量速率接近正常访问速率,以此增加检测难度,但在 DDoS 攻击时，访问 IP 数量大幅度增加是攻击的一个明显特征。且此特征无法隐藏.基于这个特征,如果能够对 IP 地址进行实时监测与判定，便能够有效地检测 DDoS 攻击,特别是攻击源地址分布均匀的 DDoS 攻击，采用新源地址出现速率作为攻击是否发生的依据,通过监测访问流数量变化,实现对 Flash Crowd 和 DDoS 攻击的有效区分。

同时，根据《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的研究报告显示，伪造源地址 DDoS 攻击发生时，IP 源地址的流数量熵值和目标地址流数量熵值均会发生较大变化，大量流汇聚导致目的地址的熵值大幅度下降,而攻击流的均匀使得源地址熵值会有所增加，通过训练出的阈值,可以检测 DDoS 攻击。

而当无攻击发生时,对某一目标地址访问的源地址分布是稳定的，且通常成簇，而 DDoS 攻击发生时，IP 源地址的分布趋于离散。可以根据 IP 源地址这一特性,识别 DDoS 攻击的方法。

DDoS、蠕虫和病毒(垃圾)邮件是影响骨干网安全的 3 个主要因素,从行为模式上来看，三者有着明显的区别:DDoS 表现为多个地址向一个 IP 地址发送数据；蠕虫表现为一个 IP 地址向多个 IP 地址,通过一个或多个端口发送数据包；病毒邮件则是一个地址，通过 25 端口向多个 IP 地址发数据包。W Chen 与 DY Yeung 将这 3 种行为模型称为威胁兴趣关系(threats interestedness relation,简称 TIR)模型。通过对源地址、目的地址、端口进行监控,构建 TIR 树,可有效识别 3 种攻击。

对一个服务器而言，以前访问的用户往往还会再次出现。在 DDoS 发生时，为这些用户提供服务,能够有效地抵御攻击。基于历史 IP 的过滤方法(history-IP filtering)基于这一原理，根据正常访问源地址出现的频率和相应的数据包数构建了 IP 地址数据库,并且采用滑动窗口进行过期地址淘汰。埃文科技 IP 应用场景数据库包含了 43 亿全量 IP 数据，可有效识别机器、爬虫流量、“非人类使用者”等多种网络风险。在 DDoS 攻击发生时,依据 IP 地址数据库提供的数据服务，直接识别风险 IP，从 IP 源地址开始保证网络安全。

21 世纪的今天，DDoS 攻击仍然是互联网安全重要威胁之一。及时更新网络安全设备和软件，检查电脑漏洞，能够有效监测恶意软件，降低操作系统被感染的风险，同时也要提高个人计算机安全防护意识，创造一个安全的计算机使用环境。