分布式阻断服务攻击(Distributed Denial of Service，DDoS)

是目前一种最常见的网络攻击，因其攻击的技术难度不高甚至访间都有很多攻击程序可以找的到，并且攻击目标大多为开放给大众的金融、游戏娱乐、电商平台、影音直播等产业的网络服务，因此无法透过一些网络防火墙的限制方式完全拒绝攻击，所以能直接造成服务不可用的重大商业损失。
 

DDoS常见的目的：

消耗网络带宽资源
大量占用目标服务器带宽造成网络堵塞，例如使用 ICMP Flood、UDP Flood、SSDP Attack、NTP Amplification Attacks、DNS Amplification Attacks、Memcached Amplification Attacks 
消耗服务器资源
透过TCP三项交握协议的特性，达到目标服务器CPU及RAM过载，例如使用SYN Flood、SYN ACK Flood、ACK Flood、ICMP Flood、Sockstress Attack
消耗应用服务资源
透过大量session及特殊封包模式等，增加响应时间造成应用的功能瓶颈，例如使用 HTTP Flood(CC)、DNS Flood、SSL Flood、Slowloris Attack

 

 

 

常见的DDOS攻击类型

虽然透过应用防火墙(WAF)能有效的防阻http flood等第七层的攻击行为，但WAF只针对应用层的行为做分析及精确的访问规则，对于网络层、传输层的攻击并无法保护，由其在传输层的攻击往往会造成庞大的流量导致网络壅塞濒紧，而在面对TCP、UDP等传输层的攻击，在阿里云上则提供了全球Anycast的Anti-DDoS高防，可以有效缓解攻击所造成的影响

Anti-DDoS高防(Anti-DDoS Premium instance)

高防会透过代理的方式设置，并将来自Internet上的访问流量导入至高防清洗中心(cleaning house)，封包将自动比对恶意攻击特征数据库，并进行过滤让正常的访问流量转发到后端服务器，以此方式让服务不受影响或被中断。
 

什么是Anycast？

DDoS高防在全球有数个基于Anycast IP 网络架构基础上的cleaning house，透过分布式的方式，让分布式阻断攻击的来源无法汇集在一起，达到单一清洗中心不会因为遭受大量网络攻击而瘫痪。
 

什么是流量调度器？

流量调度器是高防的一项附加服务，透过DNS搭配攻击特征比对，让高防服务能在CDN与其它优化联机的云服务之间做智能判断切换。
 

实务操作Anti-DDoS

接着将会在WAF前加上一层高防服务，保护3-7层上的网络安全，并且透过高防服务附加的DNS调度功能让服务在未受大量DDoS攻击前，使用CDN让访问者获得最好的访问体验。

 

1. 在产品列表Security分类上，找到DDoS高防(Anti-DDoS)

2. 在高防选择上主要分为三类简单区分:

• DDoS高防(国际)面向全球用户
• DDoS(新BGP)主要中国用户
• DDoS原生防护主要保护在同一地区阿里云上服务

防护方案分为:

• 保险版一个月提供2次24小时的攻击防护，对于有活动推广时可以在有限预算上预防攻击造成的推广损失
• 无忧版为没有上限的防护，相对的成本也比较高
• 加速线路主要是提供中国用户访问到全球，透过这项附加服务可以达到优异的访问质量(该服务本身没有DDoS防护，并须搭配其它两个版本才能达到防护能力)

功能选择:

默认为标准功能，如果有websocket(s)等长连接协议、CDN调度、加速线路调度等，功能需要选择增强功能

3. 建立好高防实例后，可以在实例管理里看到配置好的高防Anycast实例IP

4. 接着可以选择代理方式：

• 域名接入是透过第七层的方式代理，这里将WAF的cname地址加入后端服务器地址
• 端口接入是透过第四层的方式代理，如果服务是TCP、UDP及80、443、8080以外的port，需要选择端口接入

5. 这样就能完成配置，接着只要将高防的cname解析到网站域名，就完成高防接入了(实际在这次实验先不解析到网站，因为需要透过调度器让CDN和高防之间互相切换)

6. 在流量调度器里可以看到几种调度方式介绍，这边选择CDN联动调度点选添加联动

7. 阿里云会自动判断域名是否在阿里云CDN上，勾选需要关联的高防实例，并设定QPS阀值完成关联设定

8. 设定完后，调度器会产生一组cname domain，里面包含着CDN、高防实例的domain地址，透过智能调度器判断进来的流量是否存在攻击行为并切换服务

9. 最后将调度器cname解析上网站domain name

 

10. 透过本机端nslookup解析网站domain验证可以得知，在未受到攻击时解析得到调度器cname地址以及阿里云CDN的cname地址与节点IP

11. 为了验证切换功能，透过一些方法压力测试自己的服务，发现在压力测试一阵子后调度器判断为攻击行为，因此解析后得到了高防实例的Anycast IP，从网站开发者模式验证确实切换到高防IP

12. 在阿里云平台上攻击分析可以看到目前所发生的事件，阿里云这里判别为http flood攻击，所以切换到高防线路进行恶意流量过滤清洗

13. 在DDoS高防的安全总览也可以看到实时及历史的攻击流量状况，包含第四层及第七层的攻击

 

 

14. 在攻击结束后，预设调度器会自动判断并将流量切换回CDN，也可以手动在平台上做操作切换

透过DDoS高防，可以有效降低网络攻击造成的损失，在未来网络攻击将会随着科技高速发展日益严重，手机设备随着5G高速网络逐渐普及，势必会造就新型态的DDoS阻断攻击，信息安全未来将会是需要不断演进且持续性的攻防战。
 

---