相关资源

DDoS攻击介绍

分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。

攻击原理

通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

DDoS攻击的危害

DDoS攻击会对您的业务造成以下危害:
重大经济损失
在遭受DDoS攻击后,您的源站服务器可能无法提供服务,导致用户无法访问您的业务,从而造成巨大的经济损失和品牌损失。
例如:某电商平台在遭受DDoS攻击时,网站无法正常访问甚至出现短暂的关闭,导致合法用户无法下单购买商品等。
数据泄露
黑客在对您的服务器进行DDoS攻击时,可能会趁机窃取您业务的核心数据。
恶意竞争
部分行业存在恶性竞争,竞争对手可能会通过DDoS攻击恶意攻击您的服务,从而在行业竞争中获取优势。
例如:某游戏业务遭受了DDoS攻击,游戏玩家数量锐减,导致该游戏业务几天内迅速彻底下线。

常见的DDoS攻击类型

DDoS攻击分类
攻击子类
描述
畸形报文
畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。
畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。
传输层DDoS攻击
传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。
以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。
DNS DDoS攻击
DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。
以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。
连接型DDoS攻击
连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。
以Slowloris攻击为例,其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后,Web服务即无法接受新的请求。Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接。如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时,Web将无法处理任何新的请求。Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束,如果Web服务端只收到\r\n,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。
Web应用层DDoS攻击
Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。
通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。

Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。

由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。

CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。

如何判断业务是否已遭受DDoS攻击?

出现以下情况时,您的业务可能已遭受DDoS攻击:
网络和设备正常的情况下,服务器突然出现连接断开、访问卡顿、用户掉线等情况。
服务器CPU或内存占用率出现明显增长。
网络出方向或入方向流量出现明显增长。
您的业务网站或应用程序突然出现大量的未知访问。
登录服务器失败或者登录过慢。
DDoS攻击缓解最佳实践
分布式拒绝服务攻击(DDoS攻击)是一种针对目标系统的恶意网络攻击行为,DDoS攻击经常会导致被攻击者的业务无法正常访问,也就是所谓的拒绝服务。
DDoS攻击会对您的业务造成以下危害:
网络层攻击
比较典型的攻击类型是UDP反射攻击,例如NTP Flood攻击。这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。
传输层攻击
比较典型的攻击类型包括SYN Flood攻击、连接数攻击等。这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。
会话层攻击
比较典型的攻击类型是SSL连接攻击。这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。
应用层攻击
比较典型的攻击类型包括DNS flood攻击、HTTP flood攻击(即CC攻击)、游戏假人攻击等。这类攻击占用服务器的应用处理资源,极大地消耗服务器计算资源,从而达到拒绝服务的目的。


DDoS攻击缓解最佳实践

提供余量带宽
通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。
服务器安全加固,提升服务器自身的连接数等性能。
对服务器上的操作系统、软件服务进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如,对于WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上设置阻止策略。
限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN、ICMP流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能将会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阈值、禁用ICMP和UDP广播的策略配置。
通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。
做好业务监控和应急响应
关注基础DDoS防护监控
当您的业务遭受DDoS攻击时,基础DDoS默认会通过短信和邮件方式发出告警信息,针对大流量攻击基础DDoS防护也支持电话报警,建议您在接受到告警的第一时间进行应急处理。
监控
监控服务可用于收集、获取资源的监控指标或用户自定义的监控指标,探测服务的可用性,并支持针对指标设置警报。
建立应急响应预案
根据当前的技术业务架构和人员,提前准备应急技术预案,必要时可以提前进行技术演练,以检验应急响应预案的合理性。
Web应用防火墙(WAF)
针对网站类应用,例如常见的HTTP Flood攻击,可以使用WAF可以提供针对连接层攻击、会话层攻击和应用层攻击进行有效防御。
游戏盾
游戏盾是针对游戏行业常见的DDoS攻击、CC攻击推出的行业解决方案。相比于高防IP服务,游戏盾解决方案的针对性更强,针对游戏行业的攻击防御效果更好、成本更低。

应当避免的事项

DDoS攻击是业内公认的行业公敌,DDoS攻击不仅影响被攻击者,同时也会对服务商网络的稳定性造成影响,从而对处于同一网络下的其他用户业务也会造成损失。

计算机网络是一个共享环境,需要多方共同维护稳定,部分行为可能会给整体网络和其他租户的网络带来影响,需要您注意:
避免使用阿里云产品机制搭建DDoS防护平台。
避免释放处于黑洞状态的实例。
避免为处于黑洞状态的服务器连续更换、解绑、增加SLB IP、弹性公网IP、NAT网关等IP类产品。
避免通过搭建IP池进行防御,避免通过分摊攻击流量到大量IP上进行防御。
避免利用阿里云非网络安全防御产品(包括但不限于CDN、OSS),前置自身有攻击的业务。
避免使用多个账号的方式绕过上述规则。
DDoS高防常见问题
DDoS高防实例过期后会怎样?

DDoS高防实例过期后无防御能力。
过期7天内转发规则配置正常生效,流量超限将触发流量限速,可能导致随机丢包。
过期7天后将停止业务流量转发。这种情况下,如果您的业务访问地址仍解析到DDoS高防实例,则业务将无法被访问到。

DDoS高防业务带宽说明

DDoS高防实例的业务带宽指接入当前实例防护业务的正常业务流量,取入流量和出流量其中的较大值,单位:Mbps。您可以在DDoS高防控制台的实例管理页面对实例进行升级,增大当前实例的业务带宽。更多信息,请参见升级DDoS高防实例规格。

超过DDoS高防业务带宽会有什么影响?

如果您的业务流量超过购买的DDoS高防实例的业务带宽,将触发流量限速,可能导致随机丢包。

DDoS高防被黑洞后,支持手动解封吗?

DDoS高防(国际):暂不支持。

DDoS高防的回源IP地址有哪些?

您可以在DDoS高防控制台的域名接入页面查看DDoS高防的回源IP网段。更多信息,请参见放行DDoS高防回源IP。

DDoS高防服务中的源站IP可以填写内网IP吗?

不可以。DDoS高防通过公网进行回源,不支持直接填写内网IP。

修改DDoS高防服务的源站IP是否有延迟?

有延迟。修改DDoS高防服务已防护的源站IP后,需要大约五分钟生效,建议您在业务低峰期进行变更操作。更多信息,请参见更换源站ECS公网IP。

DDoS高防实例配置了多个网站业务,被攻击后如何查看是哪个网站受到攻击?

针对DDoS高防的大流量DDoS攻击行为,从数据包层面是无法分辨具体是哪个网站受到攻击。建议您使用多组DDoS高防实例,将您的网站分别部署在不同的DDoS高防实例上即可查看各个网站遭受攻击的情况。

DDoS高防是否支持健康检查?

支持。
网站业务默认开启健康检查。
非网站业务默认不开启健康检查,但可以通过DDoS高防控制台开启,具体操作请参见设置健康检查。
关于健康检查的更多信息,请参见健康检查概述。

DDoS高防配置多个源站时如何进行负载均衡?

网站业务通过源地址HASH方式进行负载均衡。
非网站业务可通过加权轮询的方式轮询转发。

DDoS高防服务是否支持会话保持?

支持。非网站业务可以通过DDoS高防控制台开启会话保持,具体操作请参见设置会话保持。

DDoS高防服务的会话保持是如何实现的?

开启会话保持后,在会话保持的设定期间内,DDoS高防服务会把同一IP的请求持续发往源站中的一台服务器。但是,如果客户端的网络环境发生变化(例如从有线切成无线、4G网络切成无线等),由于IP变化会导致会话保持失效。

DDoS高防的四层TCP默认连接超时时间是多长?

900秒。非网站业务可以通过DDoS高防控制台调整该设置,具体操作请参见设置会话保持。

DDoS高防的HTTP或HTTPS默认连接超时时间是多久?

120秒。

DDoS高防服务是否支持IPv6协议?

暂不支持。

DDoS高防服务是否支持Websocket协议?

支持。更多信息,请参见DDoS高防WebSocket配置。

DDoS高防服务是否支持HTTPS双向认证?

网站接入方式不支持HTTPS双向验证。
非网站接入且使用TCP转发方式时,支持HTTPS双向验证。

为什么老版本浏览器和安卓客户端无法正常访问HTTPS站点?

可能是因为客户端不支持SNI认证,请确认客户端是否支持SNI认证。关于SNI认证可能引发的问题,请参见SNI可能引发的HTTPS访问异常。

DDoS高防支持的SSL协议和加密套件有哪些?

支持的SSL协议:
- TLS v1.0
- TLS v1.1
- TLS v1.2支持的加密套件:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- AES128-SHA
- AES256-SHA
- DES-CBC3-SHA
- RSA+3DES

DDoS高防支持的防护端口数和防护域名数有什么限制?

防护端口数:
一个DDoS高防实例默认支持5个端口,支持扩展至400个。
支持域名数:
一个DDoS高防实例默认支持10个域名配置,最大可扩展至200个。

DDoS高防实例过期后会怎样?

DDoS高防实例过期后无防御能力。
过期7天内转发规则配置正常生效,流量超限将触发流量限速,可能导致随机丢包。
过期7天后将停止业务流量转发。这种情况下,如果您的业务访问地址仍解析到DDoS高防实例,则业务将无法被访问到。

DDoS高防支持的防护端口数和防护域名数有什么限制?

防护端口数:
一个DDoS高防实例默认支持5个端口,支持扩展至400个。
支持域名数:
一个DDoS高防实例默认支持10个域名配置,最大可扩展至200个。

服务器的流量未达到清洗阈值,为何安全总览中会出现清洗流量?

对于已接入DDoS高防服务的业务,DDoS高防将自动过滤网络流量中存在的一些畸形包(例如SYN小包、SYN标志位异常等不符合TCP协议的数据包),使您的业务服务器无需浪费资源处理这些明显的畸形包。这类被过滤的畸形包也将被计入清洗流量中,因此即使您的服务器流量未达清洗阈值,仍可能出现清洗流量。

DDoS高防服务是否支持接入采用NTLM协议认证的网站?

不支持。经DDoS高防转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您的网站采用其他方式进行认证。

联系我们

Cerberus.net
email: [email protected]