DDoS 防护：DDoS攻击解缓方案

系统加固

• 最小化暴露面

  • 目的：减少服务被扫描和攻击的入口。

  • 操作：前往ECS控制台，找到实例关联的安全组，并创建安全组规则。关于安全组的详细介绍，请参见创建安全组。

  • 示例：一个Web服务器的安全组规则如下：

    • 仅对公网开放80和443端口。

    • 对特定IP地址（如您的办公网络）开放22或3389远程管理端口。

    • 如果源站服务器前端有负载均衡SLB或DDoS高防，则安全组应配置为仅允许来自这些产品回源IP段的流量。

• 使用专有网络VPC

  • 目的：实现网络逻辑隔离，防止攻击流量在内网蔓延。

  • 操作：通过专有网络VPC实现网络内部逻辑隔离，防止来自内网傀儡机的攻击。更多内容，请参见什么是专有网络VPC。

• 服务器安全加固

  • 目的：提升服务器自身应对连接层攻击的能力，减缓资源耗尽速度。

  • 操作：

    • 系统升级：确保操作系统及应用软件为最新版本，并及时应用安全补丁。

    • 访问与服务控制：

      • 审查访问来源，关闭非必要的服务和端口（如Web服务器仅开放80端口）。

      • 限制外部网络的文件共享，防止核心文件被篡改。

    • 网络策略优化：

      • 在路由器上配置防护策略，如流量控制、包过滤、丢弃伪造源数据包、SYN阈值、禁用ICMP和UDP广播等。

      • 通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接，限制疑似恶意IP的连接数和传输速率。

      • 限制SYN半连接的数量、缩短其超时时间，并对SYN、ICMP等特定流量进行速率限制。

    • 日志监控：严密审查网络设备和服务器的系统日志，以便及时发现漏洞或攻击迹象。

优化业务架构

• 科学评估业务架构性能

  在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。

• 部署负载均衡SLB

  • 目的：通过流量分发提升业务吞吐能力，避免单点故障。将用户访问流量均衡分配到各个服务器上，降低单台服务器的压力，提升业务吞吐处理能力。

  • 操作：使用负载均衡SLB实例作为业务流量入口，后端挂载多台ECS服务器。具体操作，请参见快速实现IPv4服务的负载均衡。

• 预留冗余带宽：

  • 目的：避免正常业务突增或小规模攻击导致带宽跑满，影响正常用户。

  • 操作：评估业务日常峰值带宽（例如，通过云监控获取过去30天的P95带宽值），并在此基础上结合成本预留余量（如50%～100%）。

• 配置弹性伸缩：

  • 目的：在遭受应用层攻击（如CC攻击）导致CPU或内存升高时，自动增加服务器数量，提升处理能力。

    说明

    弹性伸缩对网络层攻击无效。必须设置最大实例数限制，防止在攻击下因无限扩容而产生高额费用。

  • 操作：创建伸缩组，并配置伸缩规则，例如“当CPU平均使用率连续3分钟超过75%时，增加一台ECS实例”。更多内容，请参见什么是弹性伸缩ESS。

• 优化DNS解析

  • 目的：通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。

  • 操作：

    • 服务冗余：将业务托管至多家DNS服务商，实现解析服务的高可用。

    • 流量过滤：

      • 丢弃非请求的DNS响应、未知来源的查询及突发请求。

      • 丢弃异常的快速重传数据包。

    • 访问控制：

      • 应用访问控制列表（ACL）、BCP38（源地址验证）及IP信誉功能，限制恶意来源。

      • 启用DNS客户端验证机制。

    • 效率优化：

      • 合理配置TTL（生存时间）值。

      • 启用DNS响应缓存，减轻源服务器压力。

购买专业安全服务（按需选用）

构建业务监控

• 基础DDoS防护监控 ：

  • 当业务遭受DDoS攻击时，基础DDoS默认会通过短信和邮件方式发出告警信息。

    说明

    配置告警消息接收人步骤，请参见设置DDoS基础防护和原生防护攻击事件报警。

  • 在流量安全控制台的“事件中心”，查看是否有正在进行的攻击事件、攻击类型和流量峰值。

• 云监控：云监控服务可用于收集、获取阿里云资源的监控指标或用户自定义的监控指标，探测服务的可用性，并支持针对指标设置警报。更多内容，请参见什么是云监控。