分散式阻斷服務攻擊(DDoS攻擊)是一種針對目標系統的惡意網路攻擊行為,DDoS攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。
常見攻擊類型
攻擊類型 | 常見方式 | 攻擊特徵 |
網路層攻擊 | UDP反射攻擊,例如NTP Flood攻擊。 | 主要利用大流量擁塞被攻擊者的網路頻寬,導致被攻擊者的業務無法正常響應客戶訪問。 |
傳輸層攻擊 | SYN Flood攻擊、串連數攻擊。 | 通過佔用伺服器的串連池資源從而達到拒絕服務的目的。 |
會話層攻擊 | SSL串連攻擊 | 佔用伺服器的SSL會話資源從而達到拒絕服務的目的。 |
應用程式層攻擊 | DNS flood攻擊、HTTP flood攻擊(即CC攻擊)、遊戲假人攻擊。 | 佔用伺服器的應用處理資源,消耗伺服器計算資源,從而達到拒絕服務的目的。 |
解決方案
系統加固
最小化暴露面
目的:減少服務被掃描和攻擊的入口。
操作:前往ECS控制台,找到執行個體關聯的安全性群組,並建立安全性群組規則。關於安全性群組的詳細介紹,請參見建立安全性群組。
樣本:一個Web伺服器的安全性群組規則如下:
僅對公網開放80和443連接埠。
對特定IP地址(如您的辦公網路)開放22或3389遠端管理連接埠。
如果來源站點伺服器前端有Server Load Balancer或DDoS高防,則安全性群組應配置為僅允許來自這些產品回源IP段的流量。
使用Virtual Private Cloud
目的:實現網路邏輯隔離,防止攻擊流量在內網蔓延。
操作:通過Virtual Private Cloud實現網路內部邏輯隔離,防止來自內網傀儡機的攻擊。更多內容,請參見什麼是Virtual Private Cloud。
伺服器安全強化
目的:提升伺服器自身應對串連層攻擊的能力,減緩資源耗儘速度。
操作:
系統升級:確保作業系統及應用軟體為最新版本,並及時應用安全補丁。
訪問與服務控制:
審查訪問來源,關閉非必要的服務和連接埠(如Web伺服器僅開放80連接埠)。
限制外部網路的檔案分享權限設定,防止核心檔案被篡改。
網路原則最佳化:
在路由器上配置防護策略,如流量控制、包過濾、丟棄偽造來源資料包、SYN閾值、禁用ICMP和UDP廣播等。
通過iptable之類的軟體防火牆限制疑似惡意IP的TCP建立串連,限制疑似惡意IP的串連數和傳輸速率。
限制SYN半串連的數量、縮短其逾時時間,並對SYN、ICMP等特定流量進行速率限制。
日誌監控:嚴密審查網路裝置和伺服器的系統日誌,以便及時發現漏洞或攻擊跡象。
最佳化業務架構
科學評估業務架構效能
在業務部署前期或營運期間,技術團隊應該對業務架構進行壓力測試,以評估現有架構的業務吞吐處理能力,為DDoS防禦提供詳細的技術參數指導資訊。
部署Server Load Balancer
目的:通過流量分發提升業務吞吐能力,避免單點故障。將使用者訪問流量均衡分配到各個伺服器上,降低單台伺服器的壓力,提升業務吞吐處理能力。
操作:使用Server Load Balancer執行個體作為業務流量入口,後端掛載多台ECS伺服器。具體操作,請參見快速實現IPv4服務的負載平衡。
預留冗餘頻寬:
目的:避免正常業務突增或小規模攻擊導致頻寬跑滿,影響正常使用者。
操作:評估業務日常峰值頻寬(例如,通過CloudMonitor擷取過去30天的P95頻寬值),並在此基礎上結合成本預留餘量(如50%~100%)。
配置Auto Scaling:
目的:在遭受應用程式層攻擊(如CC攻擊)導致CPU或記憶體升高時,自動增加伺服器數量,提升處理能力。
說明Auto Scaling對網路層攻擊無效。必須設定最大執行個體數限制,防止在攻擊下因無限擴容而產生高額費用。
操作:建立伸縮組,並配置伸縮規則,例如“當CPU平均使用率連續3分鐘超過75%時,增加一台ECS執行個體”。更多內容,請參見什麼是Auto Scaling。
最佳化DNS解析
目的:通過智能解析的方式最佳化DNS解析,可以有效避免DNS流量攻擊產生的風險。
操作:
服務冗餘:將業務託管至多家DNS服務商,實現解析服務的高可用。
流量過濾:
丟棄非請求的DNS響應、未知來源的查詢及突發請求。
丟棄異常的快速重傳資料包。
存取控制:
應用存取控制清單(ACL)、BCP38(源地址驗證)及IP信譽功能,限制惡意來源。
啟用DNS用戶端驗證機制。
效率最佳化:
合理配置TTL(存留時間)值。
啟用DNS響應緩衝,減輕原始伺服器壓力。
購買專業安全服務(按需選用)
服務 | 防護說明 | 適用情境 |
Web Application Firewall (WAF) | 常見的HTTP Flood攻擊,可以使用WAF針對串連層攻擊、會話層攻擊和應用程式層攻擊進行有效防禦。更多內容,請參見什麼是Web Application Firewall。 | 網站、API、H5等HTTP/HTTPS業務。 |
DDoS原生防護 | 為雲產品IP提供針對DDoS攻擊的共用全力防護能力,即時生效。更多內容,請參見什麼是DDoS原生防護。 | 已在阿里雲上、希望提升基礎防護能力、避免黑洞的各類業務。 |
DDoS高防 | 針對大流量的網路層、傳輸層及應用程式層攻擊。請參見什麼是DDoS高防。更多內容, | 遊戲、重要金融、電商等易受超大流量攻擊的業務。 |
構建業務監控
基礎DDoS防護監控 :
當業務遭受DDoS攻擊時,基礎DDoS預設會通過簡訊和郵件方式發出警示資訊。
說明配置警示訊息接收人步驟,請參見設定DDoS基礎防護和原生防護攻擊事件警示。
在流量安全控制台的“事件中心”,查看是否有進行中的攻擊事件、攻擊類型和流量峰值。
CloudMonitor:CloudMonitor服務可用於收集、擷取阿里雲資源的監控指標或使用者自訂的監控指標,探測服務的可用性,並支援針對指標設定警報。更多內容,請參見什麼是CloudMonitor。
應用於生產環境
DDoS攻擊會危害整個網路環境的穩定性。為維護共用網路資源,保障所有使用者業務的可用性,需注意以下行為規範:
避免使用或利用雲產品機制(產品包括但不限於OSS,DNS,ECS,SLB,EIP等)在雲上搭建提供DDoS防禦服務。
避免釋放處於黑洞狀態的執行個體。
避免為處於黑洞狀態的伺服器連續更換、解除綁定、增加SLB IP、Elastic IP Address、NAT Gateway等IP類產品。
避免通過搭建IP池進行防禦,避免通過分攤攻擊流量到大量IP上進行防禦。
避免利用阿里雲非網路安全防禦產品,如CDN、OSS等前置自身有攻擊的業務。
避免使用多個帳號的方式繞過上述規則。