【云驻共创】DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?
文章目录
- 前言
- 一、什么是 DDoS 防护 ADS?
- 1.1、什么是 DDoS 攻击?
- 1.2、如何识别 DDoS 攻击?
- 1.3、从 Web 访问流程分析 DDoS 攻击
- 1.4、DDoS 攻击类型
- 二、DDoS 防护 ADS 介绍
- 2.1、Anti-DDoS 流量清洗
- 2.2、DDoS 原生高级防护
- 2.3、DDoS 高防
- 三、DDoS 原生高级防护/高防架构
- 3.1、DDoS 原生高级防护原理
- 3.2、流量清洗机制
- 3.3、DDoS 原生高级防护业务架构
- 3.4、DDoS 高防原理
- 3.5、DDoS 高防业务架构
- 四、DDoS 高防功能特性
- 4.1、防御攻击
- 4.1.1、DDoS 攻击排名
- 4.1.2、UDP Flood
- 4.1.3、SYN Flood
- 4.1.4、NTP Reply Flood
- 4.1.5、DNS Reflect Flood
- 4.1.6、DDoS 高防提供全面的 DDoS 防护
- 4.2、流量防护
- 4.2.1、DDoS 高防支持 T 级攻击流量清洗功能
- 4.2.2、华为云黑洞策略
- 4.2.3、DDoS 高防黑洞解封
- 4.3、应用层防护
- 4.4、 CC 防护
- 4.4.1、什么是 CC 攻击?
- 4.4.2、防护原理
- 4.4.3、DDoS 高防支持多种 CC 防护规则
- 4.5、黑白名单
- 五、DDoS 原生高级防护功能特性
- 5.1、透明接入
- 5.2、全力防护
- 5.2.1、DDoS 原生高级防护提供全力防护
- 5.2.2、当前华为云 Region 云原生防护能力
- 5.3、联动防护
- 5.4、IPv4/IPv6 双协议防护
- 5.5、流量清洗
- 5.5.1、DDoS 原生高级防护流量清洗策略
- 5.5.2、DDoS 原生高级防护黑洞解封
- 5.5.3、自助解封封堵 IP
- 5.6、IP 黑白名单
- 5.6.1、DDoS 原生高级防护黑白名单
- 5.6.2、IP 黑白名单操作说明
- 5.7、协议封禁
- 六、续(补充)
- 总结
拒绝服务(Denial of Service,简称 DoS)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动 DoS 攻击时,称为分布式拒绝服务攻击(Distributed Denial of Service Attack,简称 DDoS)。
DDoS 攻击最明显的特征是网络异常缓慢(打开文件或访问网站)。
但是,造成类似性能问题的原因有多种(如合法流量激增),因此通常需要进一步调查。通过流量分析工具可以找到 DDoS 攻击的一些明显迹象,如:
- 特定网站无法访问。
- 无法访问任何网站。
- 垃圾邮件的数量急剧增加。
- 无线或有线网络连接异常断开。
- 长时间尝试访问网站或任何互联网服务时被拒绝。
- 服务器容易断线、卡顿、lag。
当访问某网站的资源时,一次访问的简化过程具体如下图所示:
通过上图我们可以看到一次 Web 访问至少涉及了 3 个协议,DDoS 攻击针对 Web 服务器的攻击就是从该流程入手发起的。
因此我们从计算机网络层面将 DDoS 攻击类型归为以下四类,具体如下表所示:
攻击类型 | 说明 | 举例 |
---|---|---|
网络层攻击 | 通过大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。 | NTP Flood 攻击。 |
传输层攻击 | 通过占用服务器的连接池资源,达到拒绝服务的目的。 | SYN Flood 攻击、ACK Flood 攻击、ICMP Flood 攻击。 |
会话层攻击 | 通过占用服务器的 SSL 会话资源,达到拒绝服务的目的。 | SSL 连接攻击。 |
应用层攻击 | 通过占用服务器的应用处理资源,极大消耗服务器处理性能,达到拒绝服务的目的。 | HTTP Get Flood 攻击、HTTP Post Flood 攻击。 |
针对 DDoS 攻击,华为云提供多种安全防护方案,您可以根据您的实际业务选择合适的防护方案。华为云 DDoS 防护服务(Anti-DDoS Service,简称 ADS)提供了 DDoS 原生基础防护(Anti-DDoS 流量清洗)、DDoS 原生高级防护(DDoS 原生标准版、DDoS 原生专业版和 DDoS 原生铂金版)和 DDoS 高防(DDoS 高防中国地区和 DDoS 高防国际版)三个子服务。
三个子服务的主要区别具体如下图所示:
Anti-DDoS 流量清洗通过对互联网访问公网 IP 的业务流量进行实时监测,及时发现异常 DDoS 攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS 为用户生成监控报表,清晰展示网络流量的安全状况。
Anti-DDoS 流量清洗免费防护华为云上的公网 IP(IPv4/IP6)资源,业务部署到华为云即可享用,具体如下图所示:
华为云推出的针对华为云 ECS、ELB、WAF、EIP 等云服务直接提升其 DDoS 防御能力的安全服务。DDoS 原生高级防护对于华为云上的 IP 生效,无需更换 IP 地址,通过简单的配置,DDoS 原生高级防护提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力。
DDoS 原生专业防护对于华为云上的公网 IP(IPv4/IP6)资源,提供全力防护能力,具体如下图所示:
DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击,具体如下图所示:
接下来我们将进一步剖析 DDoS 原生高级防护和 DDoS 高防的技术架构。
检测中心根据用户配置的安全策略,检测网络访问流量。当发生攻击时,将数据引流到清洗设备进行实时防御,清洗异常流量,转发正常流量,运行流程具体如下图所示:
- 畸形报文过滤针对违反协议标准的报文进行检查和丢弃;
- 特征过滤使用华为强大的指纹学习和匹配算法,可识别带有指纹的攻击流量,同时可针对自定义报文特征,如 IP、端口等信息对报文进行过滤;
- 虚假源认证和应用层源认证能验证流量源 IP 的访问意图和真实性;
- 会话分析和行为分析能针对 TCP 连接和应用 DDoS 攻击的慢速、访问频率恒定、访问资源单一的特点进行统计分析,对具有较强躲避效果的僵尸网络 DDoS 攻击有良好的防范效果;
- 智能限速则可以针对大流量正常行为进行限制和控制,保证服务器的可用性。
异常流量监管(DDoS 防御)系统,主要包括检测中心、清洗中心和管理中心三大组件。通常检测中心负责对分光或镜像流量做检测,发现防护目标 IP 流量异常通知管理中心,再由管理中心通知清洗中心引流。
DDoS 原生高级防护业务架构具体如下图所示:
DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击。DDoS 高防引流和转发原理运行流程具体如下图所示:
DDoS 高防服务采用分层防御、分布式清洗,通过精细化多层过滤防御技术,可以有效检测和过滤攻击流量,运行流程具体如下图所示:
2020 年,主要的攻击类型为 UDP Flood、SYN Flood、NTP Reflection Flood,这三大类攻击占了攻击次数的 56%。UDP Flood 和 SYN Flood 依然是 DDoS 的主要攻击手法。攻击类型的攻击次数分布情况具体如下图所示:
UDP 攻击是攻击者利用 UDP 协议的交互过程特点,通过僵尸网络,向服务器发送大量各种类型的 UDP 异常报文,造成服务器的网络带宽资源被耗尽,从而导致服务器的处理能力降低、运行异常。
SYN Flood 攻击是一种典型的 DoS 攻击,是一种利用 TCP 协议缺陷,发送大量伪造的 TCP 连接请求,从而使被攻击方资源耗尽(CPU 满负荷或内存不足)的攻击方式。该攻击将使服务器 TCP 连接资源耗尽,停止响应正常的 TCP 连接请求。
NTP 反射放大攻击是一种分布式拒绝服务攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的 UDP 流量压倒目标网络或服务器,使常规流量无法访问目标及周围的基础设施。
DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点,放大流量,伪造请求包的源 IP 地址作为受害者 IP,将应答包的流量引入受害的服务器,受害者查不到攻击者的真实 IP。
DDoS 高防对 UDP Flood、SYN Flood、ICMP Flood、HTTP Flood、Ping of Death、Smurf Attack、Fraggle Attack、Slowloris、Application Attcaks、NTP Amplification、Advanced Persistent Threats、Zero-day Attacks 均能提供有效防护,具体如下图所示:
支持 T 级攻击流量清洗功能,确保用户业务在遭受大流量 DDoS 攻击时仍然稳定可靠,防护设置具体如下图所示:
攻击峰值大于所选的弹性防护带宽,则高防 IP 会被黑洞,在购买高防实例后,可以根据实际业务情况,修改弹性防护带宽。
当服务器(云主机)遭受超出防御范围的流量攻击时,华为云对其采用黑洞策略,即屏蔽该服务器(云主机)的外网访问,避免对华为云中其他用户造成影响,保障华为云网络整体的可用性和稳定性。
DDoS 高防服务黑洞解封时间默认为 30 分钟,具体时长与当日黑洞触发次数和攻击峰值相关,最长可达 24 小时。
如需提前解封,需要用户升级 DDoS 高防服务并联系华为技术支持。
DDoS 高防提供的应用层防护支持 HTTP/HTTPS 协议自定义端口的业务系统防护,通过配置 CNAME 接入高防服务,通过 DNS 进行分布式流量分发,运行流程具体如下图所示:
CC(ChallengeCollapsar,挑战黑洞)攻击是 DDoS 攻击的一种类型,是攻击者利用代理服务器向受害服务器发送大量貌似合法的请求,攻击者控制某些主机不停地发大量协议正常的数据包给对方服务器造成服务器资源耗尽,一直到宕机奔溃,攻击流程具体如下图所示:
- 基于 IP 限制的防护:通过防护墙或者 nginx server 调整成单个 IP 的限制连接数,以及每分钟最大请求次数,设置一定的阈值,动态调整,当某 IP 超过指定阈值后,进行拦截或黑名单处理,让目标 IP 无法到达应用层,影响正常用户使用,在网络层就进行屏蔽处理。
- 基于用户频率调用限制:将应用的新用户和老用户区分至不同的服务器群,如新用户每分钟请求上限为 60 次/分钟,老用户为 45 次/分钟,如新用户突然暴涨,混入了大量攻击者注册的账号进行了攻击,我们则可以将他们路由到另一个服务器群,导致老用户所在的服务群不受正常影响,然后找出异常的用户进行封停和拦截处理。
DDoS 高防支持多种 CC 防护规则,支持 IP 限速、用户限速和自定义阻断方式进行 CC 防护,三种防护具体如下图所示:
添加白名单免检,白名单中的 IP 会被放行;添加黑名单阻断,黑名单中的 IP 会被拦截,具体如下图所示:
无需修改域名解析、设置源站保护,可以直接对华为云上公网 IP 资源进行防护。购买 DDoS 原生高级防护后,华为云上的公网 IP 一键接入即可使用,对业务零影响,操作流程具体如下图所示:
在操作方面,通过设置 EIP 到具体的防护对象,共享全力防护清洗黑洞阈值,具体如下图所示:
全力防护是 DDoS 原生高级防护提供的 DDoS 防御能力,指华为云根据当前区域下 DDoS 本地清洗中心的网络和资源能力,尽可能帮助您防御 DDoS 攻击。全力防护的防护能力随着华为云网络能力的不断提升而相应提升。
- 当前只有华北-北京四、华东-上海一、华南-广州三个 Region 上线。
- DDoS 原生防护实例只能防护相同区域的云资源,不能跨 Region 防护。例如:华东-上海一的云原生防护实例只能防护华东-上海一的云资源。
- 云原生防护不承诺最大防护能力。
当前华为云所在 Region 及对应防护带宽具体如下表所示:
所在 Region | 防护带宽 |
---|---|
华东(上海一) | 不低于 20G |
华北(北京四) | 不低于 20G |
华南(广州) | 不低于 20G |
通过配置 DDoS 阶梯调度策略,DDoS 原生专业版可以调度 DDoS 高防对其公网 IP 资源进行防护,抵御海量攻击,其防御流程具体如下图所示:
对于 DDoS 阶梯调度策略的配置,作为参考,具体如下图所示:
通过对于 DDoS 阶梯调度策略的配置,可以实现的优势有:
- 通过华为云原生专业防护版防御日常攻击,无需更换 IP 地址,业务流量直达源站服务器,不增加延迟。
- 发生海量攻击时,联动调度 DDoS 高防对 DDoS 原生专业防护对象中的云资源进行防护,业务流量经过 DDoS 高防转发。
支持同时为 IPv4 和 IPv6 两种类型的 IP 提供防护,满足用户对 IPv6 类型业务防护需求,具体如下图所示:
设置防护对象的实例具体如下图所示:
当 IP 遭受的 DDoS 攻击带宽超过配置的清洗阈值时,触发 DDoS 原生高级防护对攻击流量进行清洗,保障您的业务可用,具体如下图所示:
- DDoS 原生高级防护黑洞解封默认时间为 24 小时。当“华北”、“华东”和“华南”区域的公网 IP 封堵时,可以使用自助解封功能提前解封黑洞。
- 购买自助解封配额后,您可以对进入封堵状态的防护 IP 提前解封黑洞,具体如下图所示:
对于封堵 IP 完成自助解封,具体如下图所示:
自助解封策略规则说明如下:
- 对于同一防护 IP,当日首次解封时间必须大于封堵时间 30 分钟以上才能解封。解封时间 = 2(n-1)*30 分钟(n 代表解封次数)。例如,当日第一次解封需要封堵开时候 30 分钟,第二次解封需要封堵开始后 60 分钟,第三次解封需要封堵开始后 120 分钟。
- 对于同一防护 IP,如果上次解封时间和本次解封时间间隔小于 30 分钟,则本次解封时间的间隔 = 2n*30 分钟(n 代表解封次数)。例如,该 IP 已解封过一次,上次解封时间为 10:20,本次发生封堵时间为 10:40,两者时间间隔小于 30 分钟,则本次需要封堵开始后 120 分钟才能解封,即 12:40 可以解封(本次发生封堵时间 10:40 后 120 分钟)。
通过配置 IP 黑名单或 IP 白名单来封禁或者放行访问 DDoS 原生高级防护的源 IP,从而限制访问您业务资源的用户,具体如下图所示:
- 选择“黑名单”页签,单击操作列的“删除”或批量勾选要删除的黑名单,在列表左上方单击“删除”,被删除的黑名单 IP,设备将不再拦截其访问流量,具体如下图所示:
- 选择“白名单”页签,单击操作列的“删除”或批量勾选要删除的白名单,在列表左上方单击“删除”,被删除的白名单 IP,设备将不再放行其访问流量,具体如下图所示:
DDoS 原生高级防护支持 UDP 协议封禁。根据协议类型一键封禁访问 DDoS 原生高级防护的源流量。例如,访问 DDoS 原生高级防护的源流量如果没有 UDP( User Datagram Protocol,用户协议数据报协议)业务,建议封禁 UDP 协议,具体如下图所示:
由于 DDoS 攻击与防护内容较多且篇幅有限,我们将整体内容拆分为两部分,需要查看全文的小伙伴们点击下面链接自行查阅:
《【云驻共创】DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?》
《【云驻共创】DDoS 攻击与防护(二):DDoS 防护购买和使用入门指南,DDoS 防护服务有哪些应用场景?》
本文参与华为云社区【内容共创】活动第19期。
https://bbs.huaweicloud.com/blogs/370132
- 点赞
- 收藏
- 关注作者
评论(0)