分散式阻斷服務攻擊(Distributed Denial of Service，DDoS)

是目前一種最常見的網路攻擊，因其攻擊的技術難度不高甚至訪間都有很多攻擊程式可以找的到，並且攻擊目標大多為開放給大眾的金融、遊戲娛樂、電商平台、影音直播等產業的網路服務，因此無法透過一些網路防火牆的限制方式完全拒絕攻擊，所以能直接造成服務不可用的重大商業損失。
 

DDoS常見的目的:

消耗網路頻寬資源
大量佔用目標伺服器頻寬造成網路堵塞，例如使用 ICMP Flood、UDP Flood、SSDP Attack、NTP Amplification Attacks、DNS Amplification Attacks、Memcached Amplification Attacks 
消耗伺服器資源
透過TCP三項交握協議的特性，達到目標伺服器CPU及RAM過載，例如使用SYN Flood、SYN ACK Flood、ACK Flood、ICMP Flood、Sockstress Attack
消耗應用服務資源
透過大量session及特殊封包模式等，增加回應時間造成應用的功能瓶頸，例如使用 HTTP Flood(CC)、DNS Flood、SSL Flood、Slowloris Attack

 

 

 

常見的DDOS攻擊類型

雖然透過應用防火牆(WAF)能有效的防阻http flood等第七層的攻擊行為，但WAF只針對應用層的行為做分析及精確的訪問規則，對於網路層、傳輸層的攻擊並無法保護，由其在傳輸層的攻擊往往會造成龐大的流量導致網路壅塞瀕緊，而在面對TCP、UDP等傳輸層的攻擊，在阿里雲上則提供了全球Anycast的Anti-DDoS高防，可以有效緩解攻擊所造成的影響。

Anti-DDoS高防(Anti-DDoS Premium instance)

高防會透過代理的方式設置，並將來自Internet上的訪問流量導入至高防清洗中心(cleaning house)，封包將自動比對惡意攻擊特徵資料庫，並進行過濾讓正常的訪問流量轉發到後端伺服器，以此方式讓服務不受影響或被中斷。

 

什麼是Anycast？

DDoS高防在全球有數個基於Anycast IP 網路架構基礎上的cleaning house，透過分散式的方式，讓分散式阻斷攻擊的來源無法匯集在一起，達到單一清洗中心不會因為遭受大量網路攻擊而癱瘓。
 

什麼是流量調度器？

流量調度器是高防的一項附加服務，透過DNS搭配攻擊特徵比對，讓高防服務能在CDN與其它優化連線的雲服務之間做智能判斷切換。
 

實務操作Anti-DDoS

接著將會在WAF前加上一層高防服務，保護3-7層上的網路安全，並且透過高防服務附加的DNS調度功能讓服務在未受大量DDoS攻擊前，使用CDN讓訪問者獲得最好的訪問體驗

 

1. 在產品列表Security分類上，找到DDoS高防(Anti-DDoS)

2. 在高防選擇上主要分為三類簡單區分：

• DDoS高防(國際)面向全球用戶
• DDoS(新BGP)主要中國用戶
• DDoS原生防護主要保護在同一地區阿里雲上服務

防護方案分為：

• 保險版一個月提供2次24小時的攻擊防護，對於有活動推廣時可以在有限預算上預防攻擊造成的推廣損失
• 無憂版為沒有上限的防護，相對的成本也比較高
• 加速線路主要是提供中國用戶訪問到全球，透過這項附加服務可以達到優異的訪問品質(該服務本身沒有DDoS防護，並須搭配其它兩個版本才能達到防護能力)

功能選擇：

預設為標準功能，如果有websocket(s)等長連接協議、CDN調度、加速線路調度等，功能需要選擇增強功能

3. 建立好高防實例後，可以在實例管理裡看到配置好的高防Anycast實例IP

4. 接著可以選擇代理方式:

• 域名接入是透過第七層的方式代理，這裡將WAF的cname位址加入後端伺服器地址
• 端口接入是透過第四層的方式代理，如果服務是TCP、UDP及80、443、8080以外的port，需要選擇端口接入

5. 這樣就能完成配置，接著只要將高防的cname解析到網站域名，就完成高防接入了(實際在這次實驗先不解析到網站，因為需要透過調度器讓CDN和高防之間互相切換)

6. 在流量調度器裡可以看到幾種調度方式介紹，這邊選擇CDN聯動調度點選添加聯動

7. 阿里雲會自動判斷域名是否在阿里雲CDN上，勾選需要關聯的高防實例，並設定QPS閥值完成關聯設定

8. 設定完後，調度器會產生一組cname domain，裡面包含著CDN、高防實例的domain位址，透過智能調度器判斷進來的流量是否存在攻擊行為並切換服務

9. 最後將調度器cname解析上網站domain name

 

10. 透過本機端nslookup解析網站domain驗證可以得知，在未受到攻擊時解析得到調度器cname位址以及阿里雲CDN的cname位址與節點IP

11. 為了驗證切換功能，透過一些方法壓力測試自己的服務，發現在壓力測試一陣子後調度器判斷為攻擊行為，因此解析後得到了高防實例的Anycast IP，從網站開發者模式驗證確實切換到高防IP

12. 在阿里雲平台上攻擊分析可以看到目前所發生的事件，阿里雲這裡判別為http flood攻擊，所以切換到高防線路進行惡意流量過濾清洗

13. 在DDoS高防的安全總覽也可以看到即時及歷史的攻擊流量狀況，包含第四層及第七層的攻擊

 

 

14. 在攻擊結束後，預設調度器會自動判斷並將流量切換回CDN，也可以手動在平台上做操作切換

透過DDoS高防，可以有效降低網路攻擊造成的損失，在未來網路攻擊將會隨著科技高速發展日益嚴重，手機設備隨著5G高速網路逐漸普及，勢必會造就新型態的DDoS阻斷攻擊，資訊安全未來將會是需要不斷演進且持續性的攻防戰。
 

---