虽然人们在2019年新年钟声里互道平安喜乐，但仍有很多人对于20多天前的那场DDoS攻击仍然心有余悸。12月13日夜间，国内多家银行的HTTP、HTTPS在线业务受到了来自以海外地址为主的攻击。国内电信运营商在第一时间针对80端口及443端口的CC攻击进行了封堵，有效地保护了被攻击金融客户的链路，但是即便是经过了运营商进一步过滤，仍有不少攻击到达银行的数据中心，导致其对外的WEB服务器CPU使用率大幅提升，响应速度降低，影响了国内用户的正常访问。
记者了解到，在本次DDoS攻击过程中，F5 Advanced WAF(API安全-新一代WAF)的安全防护策略被证实非常有效地帮助用户抵御了攻击。于是记者采访了F5首席技术官吴静涛，请他从应用的角度分享F5对于安全防护的一些创新思路。

DDoS攻击已经被看作是目前最大的网络安全威胁之一，2018年关于各种用户的互联网业务被攻击瘫痪的新闻报道也不绝于耳。那么这次DDoS攻击有何特别之处呢?
吴静涛告诉记者，过去DDOS几乎都是从国外发起，但是这次攻击不一样，国内也有发起源，影响面非常广。除了F5新一代WAF产品发挥作用之外，F5快速响应客户需求并提供周到的现场服务，也是帮助客户在这场攻防战里致胜的关键因素。
他进一步解释道，“在WAF市场F5一直是全球最领先的公司之一。这次攻防对抗中，F5的新一代WAF产品打开了应用安全防护功能，抵住了疯狂的流量攻击。同时在F5产品+服务的大体系下，在产品功能之外又有专家在现场对攻击事件的实时处理，所以取得了非常好的防御效果。”

其实DDoS攻击肆虐这么多年，市场上已经形成了非常丰富的“抗D”产品，但是真正能抗住的产品凤毛麟角，那么为什么F5的产品可以取得如此棒的防护效果呢?吴静涛非常客观地从客户端的变化开始剖析F5 的安全优势。
他指出，客户应用的终端品种日益丰富，浏览器、原生APP、各种嵌套式应用、IOT设备比比皆是，传统的统一安全防护策略显然无法防护所有的应用。在这样的形势下，F5产品的部署位置决定了由F5来做安全防护更容易取得出众效果。众所周知，F5既在应用端又在客户端，离企业客户和用户都很近，所以由F5来将应用中的不同流量提取出不同的灰度，做流量精分，再针对不同灰度的精分结果去做安全防护，最终实现对关键应用进行精细化的安全防护策略就事半功倍顺理成章了。
记者早已发现，不少用户在上云之后，往往安全防护工作交由云服务提供商来部署，用户只需在互联网的接收入口上做一个统一的安全防护，但当遭遇DDoS攻击时，云清洗和统一安全防护策略很多都失效了。在吴静涛看来，究其原因就在于安全策略不够精细。F5的做法是通过产品+服务的方式，对一些关键的业务、关键的应用以流量精分的方式，对一个App里多种流量进行精细化的安全防护策略。“传统的安全架构完全不能适应如今以分钟级做攻防转换的新攻防模式，F5会先给客户提供这样的安全服务，等客户验证之后认同防护效果，再选购。这样先尝后买的模式非常受客户欢迎。”
F5对于安全防护的优势还有很多，其中“一键防护”功能最贴近用户需求。吴静涛透露道，由于攻防转换往往是分分钟的事，所以客户需要有一个非常快速的工具来应对。显然这时搭建DevOps模型让研发部门去改是来不及的，因为代码需要经历校验、测试、评估之后才能上线。所以最好的解决之道就是全自动去修改、配置，但由于大多数客户不允许全自动切换，因此F5推出了“一键切换”功能，帮助客户快速应对，非常好地满足了用户对应用的可用性、安全性、可视化和自动化提升等多种需求。

从企业客户角度来看，与DDoS攻击对抗是一个漫长的过程，攻击手段和工具会不断刷新，那么如何才能让自己立于不败之地呢?吴静涛也给出了四点建议：
第一点建议，用户需要意识到网络攻防和合规是两回事，安全部署不应该以合规为目标，而要重点考虑攻防，将攻防放置于首位。
第二点建议，用户需要改变统一安全策略，对于关键应用而言，需要对应用做完流量精分之后，再根据不同灰度的流量进行安全策略配置。F5产品+服务的攻防模型已经被众多用户证明是有效的，可供参考。
第三点建议，不要将安全防御能力全部寄希望于全自动安全模式，从另一个角度而言，全自动也意味着安全风险，最好的处理办法是要做可控的风险管理。
第四点建议，谨慎选择透明模式和Bypass模式!吴静涛强调，很多客户被攻击就是因为这两个模式，如今的DDoS攻击终极目标其实并不是让业务瘫痪，而是为了在彻底打穿透明模式和Bypass模式之后，掩盖不法分子如入无人之境般窃取核心数据。对此F5给出的解决之道是构建一个超高弹性的全代理架构，做现代攻防的处理。
“攻防是第一目标，流量精分是实现方法。F5希望实现的效果是通过机器学习之后的一键操作，而不是简单的全自动，最终构建出完整的安全防御体系。”吴静涛总结道。

在2018年，人工智能是最为火爆的IT关键词，而在F5的Advanced WAF(API 安全——新一代 WAF)里早有机器学习的应用。
在介绍机器学习应用之前，吴静涛先抛出两个问题：客户如何判断是否进入攻击状态?如何判断是否需要开启全线防御?传统做法是设置一个阈值，例如流量大于多少，吞吐量达到多少就启动防御。但如今流量非常灵活，时刻处于变动状态，很难准确界定是否处于攻击状态。F5的做法是通过产品把数据采集回来后进行大数据的分析，做成智能基线。智能基线是通过机器学习经过判断之后，才会被触发最终判断进入攻击状态。
他表示，判断出攻击状态也并不意味着要进入全线防御。在F5产品+服务的框架下，经过大数据采集、机器学习、智能基线判断，最后进行预案全部工作都由F5完成，客户自己来判断是否通过“一键切换”进入防御状态。“F5通过机器学习的方法来去判断正常流量、异常流量和用户行为，然后通过AIOps的方式去做处理，最后给客户一键选择权。”
采访结束时，吴静涛告诉记者， 2018年是F5“凤凰计划”的元年，他本人就是凤凰计划在中国的主导人。回首2018，F5中国非常好地完成了这个战略目标，而且也为2019年的快速增长打下了非常坚实的基础。“我们在2019年第一季度非常有信心实现开门红，迈下全年快速增长的第一步。”

原文来自：http://netsecurity.51cto.com/art/201901/590465.htm

本文地址：https://www.linuxprobe.com/defending-against-ddos-attacks.html编辑：KSJXAXOAS，审核员：逄增宝

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/