相關資源

DDoS攻擊介紹

分佈式拒絕服務(Distributed Denial of Service,簡稱DDoS)將多台計算機聯合起來作為攻擊平台,通過遠程連接利用惡意程序,對一個或多個目標發起DDoS攻擊,消耗目標服務器性能或網絡帶寬,從而造成服務器無法正常地提供服務。

攻擊原理

通常,攻擊者使用一個非法賬號將DDoS主控程序安裝在一台計算機上,並在網絡上的多台計算機上安裝代理程序。在所設定的時間內,主控程序與大量代理程序進行通訊,代理程序收到指令時對目標發動攻擊,主控程序甚至能在幾秒鐘內激活成百上千次代理程序的運行。

DDoS攻擊的危害

DDoS攻擊會對您的業務造成以下危害:
重大經濟損失
在遭受DDoS攻擊後,您的源站服務器可能無法提供服務,導致用戶無法訪問您的業務,從而造成巨大的經濟損失和品牌損失。
例如:某電商平台在遭受DDoS攻擊時,網站無法正常訪問甚至出現短暫的關閉,導致合法用戶無法下單購買商品等。
數據洩露
黑客在對您的服務器進行DDoS攻擊時,可能會趁機竊取您業務的核心數據。
惡意競爭
部分行業存在惡性競爭,競爭對手可能會通過DDoS攻擊惡意攻擊您的服務,從而在行業競爭中獲取優勢。
例如:某遊戲業務遭受了DDoS攻擊,遊戲玩家數量銳減,導致該遊戲業務幾天內迅速徹底下線。

常見的DDoS攻擊類型

DDoS攻擊分類
攻擊子類
描述
畸形報文
畸形報文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。
畸形報文攻擊指通過向目標系統發送有缺陷的IP報文,使得目標系統在處理這樣的報文時出現崩潰,從而達到拒絕服務的攻擊目的。
傳輸層DDoS攻擊
傳輸層DDoS攻擊主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。
以Syn Flood攻擊為例,它利用了TCP協議的三次握手機制,當服務端接收到一個Syn請求時,服務端必須使用一個監聽隊列將該連接保存一定時間。因此,通過向服務端不停發送Syn請求,但不響應Syn+Ack報文,從而消耗服務端的資源。當監聽隊列被佔滿時,服務端將無法響應正常用戶的請求,達到拒絕服務攻擊的目的。
DNS DDoS攻擊
DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、虛假源+真實源DNS Query Flood、權威服務器攻擊和Local服務器攻擊等。
以DNS Query Flood攻擊為例,其本質上執行的是真實的Query請求,屬於正常業務行為。但如果多台傀儡機同時發起海量的域名查詢請求,服務端無法響應正常的Query請求,從而導致拒絕服務。
連接型DDoS攻擊
連接型DDoS攻擊主要是指TCP慢速連接攻擊、連接耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。
以Slowloris攻擊為例,其攻擊目標是Web服務器的並發上限。當Web服務器的連接並發數達到上限後,Web服務即無法接受新的請求。 Web服務接收到新的HTTP請求時,建立新的連接來處理請求,並在處理完成後關閉這個連接。如果該連接一直處於連接狀態,收到新的HTTP請求時則需要建立新的連接進行處理。而當所有連接都處於連接狀態時,Web將無法處理任何新的請求。 Slowloris攻擊利用HTTP協議的特性來達到攻擊目的。 HTTP請求以\r\n\r\n標識Headers的結束,如果Web服務端只收到\r\n,則認為HTTP Headers部分沒有結束,將保留該連接並等待後續的請求內容。
Web應用層DDoS攻擊
Web應用層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。
通常應用層攻擊完全模擬用戶請求,類似於各種搜索引擎和爬蟲一樣,這些攻擊行為和正常的業務並沒有嚴格的邊界,難以辨別。
Web服務中一些資源消耗較大的事務和頁面。例如,Web應用中的分頁和分錶,如果控制頁面的參數過大,頻繁的翻頁將會佔用較多的Web服務資源。尤其在高並發頻繁調用的情況下,類似這樣的事務就成了早期CC攻擊的目標。由於現在的攻擊大都是混合型的,因此模擬用戶行為的頻繁操作都可以被認為是CC攻擊。例如,各種刷票軟件對網站的訪問,從某種程度上來說就是CC攻擊。 CC攻擊瞄準的是Web應用的後端業務,除了導致拒絕服務外,還會直接影響Web應用的功能和性能,包括Web響應時間、數據庫服務、磁盤讀寫等。

如何判斷業務是否已遭受DDoS攻擊?

網絡和設備正常的情況下,服務器突然出現連接斷開、訪問卡頓、用戶掉線等情況。
服務器CPU或內存佔用率出現明顯增長。
網絡出方向或入方向流量出現明顯增長。
您的業務網站或應用程序突然出現大量的未知訪問。
登錄服務器失敗或者登錄過慢。
出現以下情況時,您的業務可能已遭受DDoS攻擊:
DDoS攻擊緩解最佳實踐
分佈式拒絕服務攻擊(DDoS攻擊)是一種針對目標系統的惡意網絡攻擊行為,DDoS攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。
DDoS攻擊會對您的業務造成以下危害:
網絡層攻擊
比較典型的攻擊類型是UDP反射攻擊,例如NTP Flood攻擊。這類攻擊主要利用大流量擁塞被攻擊者的網絡帶寬,導致被攻擊者的業務無法正常響應客戶訪問。
傳輸層攻擊
比較典型的攻擊類型包括SYN Flood攻擊、連接數攻擊等。這類攻擊通過佔用服務器的連接池資源從而達到拒絕服務的目的。
會話層攻擊
比較典型的攻擊類型是SSL連接攻擊。這類攻擊佔用服務器的SSL會話資源從而達到拒絕服務的目的。
應用層攻擊
比較典型的攻擊類型包括DNS flood攻擊、HTTP flood攻擊(即CC攻擊)、遊戲假人攻擊等。這類攻擊佔用服務器的應用處理資源,極大地消耗服務器計算資源,從而達到拒絕服務的目的。


DDoS攻擊緩解最佳實踐

提供餘量帶寬
通過服務器性能測試,評估正常業務環境下所能承受的帶寬和請求數。在購買帶寬時確保有一定的餘量帶寬,可以避免遭受攻擊時帶寬大於正常使用量而影響正常用戶的情況。
服務器安全加固,提升服務器自身的連接數等性能。
對服務器上的操作系統、軟件服務進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:
確保服務器的系統文件是最新的版本,並及時更新系統補丁。
對所有服務器主機進行檢查,清楚訪問者的來源。
過濾不必要的服務和端口。例如,對於WWW服務器,只開放80端口,將其他所有端口關閉,或在防火牆上設置阻止策略。
限制同時打開的SYN半連接數目,縮短SYN半連接的timeout時間,限制SYN、ICMP流量。
仔細檢查網絡設備和服務器系統的日誌。一旦出現漏洞或是時間變更,則說明服務器可能遭到了攻擊。
限制在防火牆外進行網絡文件共享。降低黑客截取系統文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能將會陷入癱瘓。
充分利用網絡設備保護網絡資源。在配置路由器時應考慮針對流控、包過濾、半連接超時、垃圾包丟棄、來源偽造的數據包丟棄、SYN閾值、禁用ICMP和UDP廣播的策略配置。
通過iptable之類的軟件防火牆限制疑似惡意IP的TCP新建連接,限制疑似惡意IP的連接、傳輸速率。
做好業務監控和應急響應
關注基礎DDoS防護監控
當您的業務遭受DDoS攻擊時,基礎DDoS默認會通過短信和郵件方式發出告警信息,針對大流量攻擊基礎DDoS防護也支持電話報警,建議您在接受到告警的第一時間進行應急處理。
監控
監控服務可用於收集、獲取資源的監控指標或用戶自定義的監控指標,探測服務的可用性,並支持針對指標設置警報。
建立應急響應預案
根據當前的技術業務架構和人員,提前準備應急技術預案,必要時可以提前進行技術演練,以檢驗應急響應預案的合理性。
Web應用防火牆(WAF)
針對網站類應用,例如常見的HTTP Flood攻擊,可以使用WAF可以提供針對連接層攻擊、會話層攻擊和應用層攻擊進行有效防禦。
遊戲盾
遊戲盾是針對遊戲行業常見的DDoS攻擊、CC攻擊推出的行業解決方案。相比於高防IP服務,遊戲盾解決方案的針對性更強,針對遊戲行業的攻擊防禦效果更好、成本更低。

應當避免的事項

DDoS攻擊是業內公認的行業公敵,DDoS攻擊不僅影響被攻擊者,同時也會對服務商網絡的穩定性造成影響,從而對處於同一網絡下的其他用戶業務也會造成損失。

計算機網絡是一個共享環境,需要多方共同維護穩定,部分行為可能會給整體網絡和其他租戶的網絡帶來影響,需要您注意:
避免使用阿里雲產品機制搭建DDoS防護平台。
避免釋放處於黑洞狀態的實例。
避免為處於黑洞狀態的服務器連續更換、解綁、增加SLB IP、彈性公網IP、NAT網關等IP類產品。
避免通過搭建IP池進行防禦,避免通過分攤攻擊流量到大量IP上進行防禦。
避免利用阿里云非網絡安全防禦產品(包括但不限於CDN、OSS),前置自身有攻擊的業務。
避免使用多個賬號的方式繞過上述規則。
DDoS高防常見問題
DDoS高防實例過期後會怎樣?

DDoS高防實例過期後無防禦能力。過期7天內轉發規則配置正常生效,流量超限將觸發流量限速,可能導致隨機丟包。
過期7天后將停止業務流量轉發。這種情況下,如果您的業務訪問地址仍解析到DDoS高防實例,則業務將無法被訪問到。

DDoS高防業務帶寬說明

DDoS高防實例的業務帶寬指接入當前實例防護業務的正常業務流量,取入流量和出流量其中的較大值,單位:Mbps。您可以在DDoS高防控制台的實例管理頁面對實例進行升級,增大當前實例的業務帶寬。更多信息,請參見升級DDoS高防實例規格。

超過DDoS高防業務帶寬會有什麼影響?

如果您的業務流量超過購買的DDoS高防實例的業務帶寬,將觸發流量限速,可能導致隨機丟包。

DDoS高防被黑洞後,支持手動解封嗎?

DDoS高防(國際):暫不支持。

DDoS高防的回源IP地址有哪些?

您可以在DDoS高防控制台的域名接入頁面查看DDoS高防的回源IP網段。更多信息,請參見放行DDoS高防回源IP。

DDoS高防服務中的源站IP可以填寫內網IP嗎?

不可以。 DDoS高防通過公網進行回源,不支持直接填寫內網IP。

修改DDoS高防服務的源站IP是否有延遲?

有延遲。修改DDoS高防服務已防護的源站IP後,需要大約五分鐘生效,建議您在業務低峰期進行變更操作。更多信息,請參見更換源站ECS公網IP。

DDoS高防實例配置了多個網站業務,被攻擊後如何查看是哪個網站受到攻擊?

針對DDoS高防的大流量DDoS攻擊行為,從數據包層面是無法分辨具體是哪個網站受到攻擊。建議您使用多組DDoS高防實例,將您的網站分別部署在不同的DDoS高防實例上即可查看各個網站遭受攻擊的情況。

DDoS高防是否支持健康檢查?

支持。
網站業務默認開啟健康檢查。非網站業務默認不開啟健康檢查,但可以通過DDoS高防控制台開啟,具體操作請參見設置健康檢查。關於健康檢查的更多信息,請參見健康檢查概述。

DDoS高防配置多個源站時如何進行負載均衡?

網站業務通過源地址HASH方式進行負載均衡。
非網站業務可通過加權輪詢的方式輪詢轉發。

DDoS高防服務是否支持會話保持?

支持。非網站業務可以通過DDoS高防控制台開啟會話保持,具體操作請參見設置會話保持。

DDoS高防服務的會話保持是如何實現的?

開啟會話保持後,在會話保持的設定期間內,DDoS高防服務會把同一IP的請求持續發往源站中的一台服務器。但是,如果客戶端的網絡環境發生變化(例如從有線切成無線、4G網絡切成無線等),由於IP變化會導致會話保持失效。

DDoS高防的四層TCP默認連接超時時間是多長?

900秒。非網站業務可以通過DDoS高防控制台調整該設置,具體操作請參見設置會話保持。

DDoS高防的HTTP或HTTPS默認連接超時時間是多久?

120秒。

DDoS高防服務是否支持IPv6協議?

暫不支持。

DDoS高防服務是否支持Websocket協議?

支持。更多信息,請參見DDoS高防WebSocket配置。

DDoS高防服務是否支持HTTPS雙向認證?

網站接入方式不支持HTTPS雙向驗證。
非網站接入且使用TCP轉發方式時,支持HTTPS雙向驗證。

為什麼老版本瀏覽器和安卓客戶端無法正常訪問HTTPS站點?

可能是因為客戶端不支持SNI認證,請確認客戶端是否支持SNI認證。關於SNI認證可能引發的問題,請參見SNI可能引發的HTTPS訪問異常。

DDoS高防支持的SSL協議和加密套件有哪些?

支持的SSL協議:
- TLS v1.0- TLS v1.1
- TLS v1.2支持的加密套件:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- AES128-SHA
- AES256-SHA
- DES-CBC3-SHA
- RSA+3DES

DDoS高防支持的防護端口數和防護域名數有什麼限制?

防護端口數:
一個DDoS高防實例默認支持5個端口,支持擴展至400個。
支持域名數:
一個DDoS高防實例默認支持10個域名配置,最大可擴展至200個。

DDoS高防實例過期後會怎樣?

DDoS高防實例過期後無防禦能力。
過期7天內轉發規則配置正常生效,流量超限將觸發流量限速,可能導致隨機丟包。
過期7天后將停止業務流量轉發。這種情況下,如果您的業務訪問地址仍解析到DDoS高防實例,則業務將無法被訪問到。

DDoS高防支持的防護端口數和防護域名數有什麼限制?

防護端口數:
一個DDoS高防實例默認支持5個端口,支持擴展至400個。
支持域名數:
一個DDoS高防實例默認支持10個域名配置,最大可擴展至200個。

服務器的流量未達到清洗閾值,為何安全總覽中會出現清洗流量?

對於已接入DDoS高防服務的業務,DDoS高防將自動過濾網絡流量中存在的一些畸形包(例如SYN小包、SYN標誌位異常等不符合TCP協議的數據包),使您的業務服務器無需浪費資源處理這些明顯的畸形包。這類被過濾的畸形包也將被計入清洗流量中,因此即使您的服務器流量未達清洗閾值,仍可能出現清洗流量。

DDoS高防服務是否支持接入採用NTLM協議認證的網站?

不支持。經DDoS高防轉發的訪問請求可能無法通過源站服務器的NTLM認證,客戶端將反復出現認證提示。建議您的網站採用其他方式進行認證。

聯繫我們

Cerberus.net
email: [email protected]