1.2、如何识别 DDoS 攻击?
DDoS 攻击最明显的特征是网络异常缓慢(打开文件或访问网站)。
但是,造成类似性能问题的原因有多种(如合法流量激增),因此通常需要进一步调查。通过流量分析工具可以找到 DDoS 攻击的一些明显迹象,如:
- 特定网站无法访问。
- 无法访问任何网站。
- 垃圾邮件的数量急剧增加。
- 无线或有线网络连接异常断开。
- 长时间尝试访问网站或任何互联网服务时被拒绝。
- 服务器容易断线、卡顿、lag。
1.3、从 Web 访问流程分析 DDoS 攻击
当访问某网站的资源时,一次访问的简化过程具体如下图所示:
通过上图我们可以看到一次 Web 访问至少涉及了 3 个协议,DDoS 攻击针对 Web 服务器的攻击就是从该流程入手发起的。
1.4、DDoS 攻击类型
因此我们从计算机网络层面将 DDoS 攻击类型归为以下四类,具体如下表所示:
攻击类型 | 说明 | 举例 |
---|---|---|
网络层攻击 | 通过大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。 | NTP Flood 攻击。 |
传输层攻击 | 通过占用服务器的连接池资源,达到拒绝服务的目的。 | SYN Flood 攻击、ACK Flood 攻击、ICMP Flood 攻击。 |
会话层攻击 | 通过占用服务器的 SSL 会话资源,达到拒绝服务的目的。 | SSL 连接攻击。 |
应用层攻击 | 通过占用服务器的应用处理资源,极大消耗服务器处理性能,达到拒绝服务的目的。 | HTTP Get Flood 攻击、HTTP Post Flood 攻击。 |
二、DDoS 防护 ADS 介绍
针对 DDoS 攻击,华为云提供多种安全防护方案,您可以根据您的实际业务选择合适的防护方案。华为云 DDoS 防护服务(Anti-DDoS Service,简称 ADS)提供了 DDoS 原生基础防护(Anti-DDoS 流量清洗)、DDoS 原生高级防护(DDoS 原生标准版、DDoS 原生专业版和 DDoS 原生铂金版)和 DDoS 高防(DDoS 高防中国地区和 DDoS 高防国际版)三个子服务。
三个子服务的主要区别具体如下图所示:
2.1、Anti-DDoS 流量清洗
Anti-DDoS 流量清洗通过对互联网访问公网 IP 的业务流量进行实时监测,及时发现异常 DDoS 攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS 为用户生成监控报表,清晰展示网络流量的安全状况。
Anti-DDoS 流量清洗免费防护华为云上的公网 IP(IPv4/IP6)资源,业务部署到华为云即可享用,具体如下图所示:
2.2、DDoS 原生高级防护
华为云推出的针对华为云 ECS、ELB、WAF、EIP 等云服务直接提升其 DDoS 防御能力的安全服务。DDoS 原生高级防护对于华为云上的 IP 生效,无需更换 IP 地址,通过简单的配置,DDoS 原生高级防护提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力。
DDoS 原生专业防护对于华为云上的公网 IP(IPv4/IP6)资源,提供全力防护能力,具体如下图所示:
2.3、DDoS 高防
DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击,具体如下图所示:
三、DDoS 原生高级防护/高防架构
接下来我们将进一步剖析 DDoS 原生高级防护和 DDoS 高防的技术架构。
3.1、DDoS 原生高级防护原理
检测中心根据用户配置的安全策略,检测网络访问流量。当发生攻击时,将数据引流到清洗设备进行实时防御,清洗异常流量,转发正常流量,运行流程具体如下图所示:
3.2、流量清洗机制
- 畸形报文过滤针对违反协议标准的报文进行检查和丢弃;
- 特征过滤使用华为强大的指纹学习和匹配算法,可识别带有指纹的攻击流量,同时可针对自定义报文特征,如 IP、端口等信息对报文进行过滤;
- 虚假源认证和应用层源认证能验证流量源 IP 的访问意图和真实性;
- 会话分析和行为分析能针对 TCP 连接和应用 DDoS 攻击的慢速、访问频率恒定、访问资源单一的特点进行统计分析,对具有较强躲避效果的僵尸网络 DDoS 攻击有良好的防范效果;
- 智能限速则可以针对大流量正常行为进行限制和控制,保证服务器的可用性。
3.3、DDoS 原生高级防护业务架构
异常流量监管(DDoS 防御)系统,主要包括检测中心、清洗中心和管理中心三大组件。通常检测中心负责对分光或镜像流量做检测,发现防护目标 IP 流量异常通知管理中心,再由管理中心通知清洗中心引流。
DDoS 原生高级防护业务架构具体如下图所示:
3.4、DDoS 高防原理
DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击。DDoS 高防引流和转发原理运行流程具体如下图所示:
3.5、DDoS 高防业务架构
DDoS 高防服务采用分层防御、分布式清洗,通过精细化多层过滤防御技术,可以有效检测和过滤攻击流量,运行流程具体如下图所示:
四、DDoS 高防功能特性
4.1、防御攻击
4.1.1、DDoS 攻击排名
2020 年,主要的攻击类型为 UDP Flood、SYN Flood、NTP Reflection Flood,这三大类攻击占了攻击次数的 56%。UDP Flood 和 SYN Flood 依然是 DDoS 的主要攻击手法。攻击类型的攻击次数分布情况具体如下图所示:
4.1.2、UDP Flood
UDP 攻击是攻击者利用 UDP 协议的交互过程特点,通过僵尸网络,向服务器发送大量各种类型的 UDP 异常报文,造成服务器的网络带宽资源被耗尽,从而导致服务器的处理能力降低、运行异常。
4.1.3、SYN Flood
SYN Flood 攻击是一种典型的 DoS 攻击,是一种利用 TCP 协议缺陷,发送大量伪造的 TCP 连接请求,从而使被攻击方资源耗尽(CPU 满负荷或内存不足)的攻击方式。该攻击将使服务器 TCP 连接资源耗尽,停止响应正常的 TCP 连接请求。
4.1.4、NTP Reply Flood
NTP 反射放大攻击是一种分布式拒绝服务攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的 UDP 流量压倒目标网络或服务器,使常规流量无法访问目标及周围的基础设施。
4.1.5、DNS Reflect Flood
DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点,放大流量,伪造请求包的源 IP 地址作为受害者 IP,将应答包的流量引入受害的服务器,受害者查不到攻击者的真实 IP。
4.1.6、DDoS 高防提供全面的 DDoS 防护
DDoS 高防对 UDP Flood、SYN Flood、ICMP Flood、HTTP Flood、Ping of Death、Smurf Attack、Fraggle Attack、Slowloris、Application Attcaks、NTP Amplification、Advanced Persistent Threats、Zero-day Attacks 均能提供有效防护,具体如下图所示:
4.2、流量防护
4.2.1、DDoS 高防支持 T 级攻击流量清洗功能
支持 T 级攻击流量清洗功能,确保用户业务在遭受大流量 DDoS 攻击时仍然稳定可靠,防护设置具体如下图所示:
攻击峰值大于所选的弹性防护带宽,则高防 IP 会被黑洞,在购买高防实例后,可以根据实际业务情况,修改弹性防护带宽。
4.2.2、华为云黑洞策略
当服务器(云主机)遭受超出防御范围的流量攻击时,华为云对其采用黑洞策略,即屏蔽该服务器(云主机)的外网访问,避免对华为云中其他用户造成影响,保障华为云网络整体的可用性和稳定性。
4.2.3、DDoS 高防黑洞解封
DDoS 高防服务黑洞解封时间默认为 30 分钟,具体时长与当日黑洞触发次数和攻击峰值相关,最长可达 24 小时。
如需提前解封,需要用户升级 DDoS 高防服务并联系华为技术支持。
4.3、应用层防护
DDoS 高防提供的应用层防护支持 HTTP/HTTPS 协议自定义端口的业务系统防护,通过配置 CNAME 接入高防服务,通过 DNS 进行分布式流量分发,运行流程具体如下图所示:
4.4、 CC 防护
4.4.1、什么是 CC 攻击?
CC(ChallengeCollapsar,挑战黑洞)攻击是 DDoS 攻击的一种类型,是攻击者利用代理服务器向受害服务器发送大量貌似合法的请求,攻击者控制某些主机不停地发大量协议正常的数据包给对方服务器造成服务器资源耗尽,一直到宕机奔溃,攻击流程具体如下图所示:
4.4.2、防护原理
- 基于 IP 限制的防护:通过防护墙或者 nginx server 调整成单个 IP 的限制连接数,以及每分钟最大请求次数,设置一定的阈值,动态调整,当某 IP 超过指定阈值后,进行拦截或黑名单处理,让目标 IP 无法到达应用层,影响正常用户使用,在网络层就进行屏蔽处理。
- 基于用户频率调用限制:将应用的新用户和老用户区分至不同的服务器群,如新用户每分钟请求上限为 60 次/分钟,老用户为 45 次/分钟,如新用户突然暴涨,混入了大量攻击者注册的账号进行了攻击,我们则可以将他们路由到另一个服务器群,导致老用户所在的服务群不受正常影响,然后找出异常的用户进行封停和拦截处理。
4.4.3、DDoS 高防支持多种 CC 防护规则
DDoS 高防支持多种 CC 防护规则,支持 IP 限速、用户限速和自定义阻断方式进行 CC 防护,三种防护具体如下图所示:
4.5、黑白名单
添加白名单免检,白名单中的 IP 会被放行;添加黑名单阻断,黑名单中的 IP 会被拦截,具体如下图所示:
五、DDoS 原生高级防护功能特性
5.1、透明接入
无需修改域名解析、设置源站保护,可以直接对华为云上公网 IP 资源进行防护。购买 DDoS 原生高级防护后,华为云上的公网 IP 一键接入即可使用,对业务零影响,操作流程具体如下图所示:
在操作方面,通过设置 EIP 到具体的防护对象,共享全力防护清洗黑洞阈值,具体如下图所示:
5.2、全力防护
5.2.1、DDoS 原生高级防护提供全力防护
全力防护是 DDoS 原生高级防护提供的 DDoS 防御能力,指华为云根据当前区域下 DDoS 本地清洗中心的网络和资源能力,尽可能帮助您防御 DDoS 攻击。全力防护的防护能力随着华为云网络能力的不断提升而相应提升。
5.2.2、当前华为云 Region 云原生防护能力
- 当前只有华北-北京四、华东-上海一、华南-广州三个 Region 上线。
- DDoS 原生防护实例只能防护相同区域的云资源,不能跨 Region 防护。例如:华东-上海一的云原生防护实例只能防护华东-上海一的云资源。
- 云原生防护不承诺最大防护能力。
当前华为云所在 Region 及对应防护带宽具体如下表所示:
所在 Region | 防护带宽 |
---|---|
华东(上海一) | 不低于 20G |
华北(北京四) | 不低于 20G |
华南(广州) | 不低于 20G |
5.3、联动防护
通过配置 DDoS 阶梯调度策略,DDoS 原生专业版可以调度 DDoS 高防对其公网 IP 资源进行防护,抵御海量攻击,其防御流程具体如下图所示:
对于 DDoS 阶梯调度策略的配置,作为参考,具体如下图所示:
通过对于 DDoS 阶梯调度策略的配置,可以实现的优势有:
- 通过华为云原生专业防护版防御日常攻击,无需更换 IP 地址,业务流量直达源站服务器,不增加延迟。
- 发生海量攻击时,联动调度 DDoS 高防对 DDoS 原生专业防护对象中的云资源进行防护,业务流量经过 DDoS 高防转发。
5.4、IPv4/IPv6 双协议防护
支持同时为 IPv4 和 IPv6 两种类型的 IP 提供防护,满足用户对 IPv6 类型业务防护需求,具体如下图所示: