保护您的AWS网站免受DDoS攻击

我们Imperva封装系列的更新

这是由赞助商组成的由三个部分组成的系列文章的第二篇，该系列涵盖Incapsula性能和安全服务 。 在第一部分中 ，我向您介绍了Incapsula网站安全性，并介绍了将您的网站与其系统进行集成的过程很简单-只需几分钟，即可提供非常广泛的复杂保护。

在本教程中，我将描述Incapsula安全性如何保护您的Amazon Web Services托管的网站（以及任何网站）免受分布式拒绝服务攻击（DDoS）的攻击 。

本质上，DDoS攻击通常是成千上万台受损的“僵尸”计算机针对特定目标（也许是您的网站）的协同攻击。 防御这些攻击并不容易。 DDoS攻击不仅会破坏您的服务并破坏客户的体验，而且还会导致巨大的带宽超支和后续支出。

在本系列的下一部分和第三集中，我们将继续介绍Incapsula CDN＆Optimizer和其他功能，例如压缩和图像优化-其中大多数是免费提供的。

Incapsula是一项如此有趣而精致的服务，我希望说服Tuts +的编辑之神让我写更多有关它的内容。 如果您对本系列的未来剧集有任何要求，或者对今天有任何疑问和评论，请在下面发布。 您也可以通过Twitter @reifman 与 我 联系 或 直接 给我发送电子邮件 。

封装简介

正如我在第一部分中提到的，当您注册Incapsula时 ，您的网站流量将通过其遍布全球的功能强大的服务器网络无缝路由。 您的入站流量可以实时进行智能配置，阻止最新的Web威胁（例如SQL注入攻击，爬虫，恶意机器人，垃圾评论发送者），并通过更高级别的计划来阻止DDoS攻击。 同时，使用CDN和优化器可以加快您的出站流量。 其中许多功能是免费提供的，您可以在其14天试用期内免费试用所有功能。 如果您还有其他问题，请查看“ 封装常见问题解答” 。

封装式DDoS保护

Imperva表示，“最近的一项行业研究表明，过去7个月中，约有75％的IT决策者遭受了至少一次DDoS攻击，而31％的受访者称这些攻击导致了服务中断。”

Incapsula全面保护您的网站免受所有三种DDoS攻击 ：

1. 基于卷的攻击
2. 协议攻击
3. 应用层攻击

Incapsula全面保护您的网站免受所有三种DDoS攻击：

您可以使用Incapsula DDoS停机成本计算器来衡量公司遭受DDoS攻击的财务责任：

这是通过我的设置显示给我的示例结果：

使用Incapsula Pro计划，您将获得完善的Web应用程序防火墙（WAF）和后门保护，以最大程度地减少责任和风险。

为了防御应用程序层DDoS攻击，您需要业务计划，该计划的起始价格为每个站点每月299美元。 企业计划可保护您免受网络层攻击。

无论您是在AWS上托管网站还是在任何Web主机上托管，内置DDoS保护都将起作用。 它们的交付方式和提供的方法如下：

• 作为全球定位数据中心的强大网络提供
  
• 应用程序（第7层）和网络（第3、4层）DDoS保护
• 由24x7全天候安全团队和99.999％正常运行时间SLA支持
  
• 可作为始终在线或按需服务

这是Incapsula网络的全球数据中心的地图：

您可以查看实际访问者和DDoS流​​量如何在访问您的网站之前由Incapsula进行管理（通常由Incapsula进行镜像以提高性能）：

当您注册单个IP地址的基础结构保护时，还为所有类型的服务（UDP / TCP，SMTP，FTP，SSH，VoIP等）提供全面的DDoS保护。

单独的IP保护使用户能够部署DDoS保护来防御所有类型的环境，包括：

• 云环境（例如，AWS，Azure）
• 游戏服务器（和其他使用专有协议的设备）
• 单个联网设备和原始服务器

当您加入该服务时，Incapsula将从您自己的IP范围中分配一个IP地址用于路由流量。 然后在您的原始服务器（或路由器/负载平衡器）和Incapsula网络之间建立一条隧道。 一旦到位，此隧道将用于将干净的流量从我们的网络路由到您的来源，反之亦然。 然后，您通过DNS向用户广播分配的IP地址，使它们成为您的名义“源”地址。

在向我们介绍有关AWS客户的Incapsula优势的更多信息之前，让我们逐步了解DDoS攻击和网络术语。

DDoS攻击如何运作

下图（来自Wikipedia ）显示了攻击者如何利用无法追踪的计算机网络和被破坏的“僵尸”将Web应用程序推倒了：

封装DDoS保护在OSI模型的七个层的应用程序（第7层）和网络（第3层和第4层）工作。 这是维基百科有关这些层的指南，以获取更多详细信息：

尽管看起来很复杂，但这些本质上是DDoS攻击使用的层，因为这些层将您的网站连接到Internet用户和Internet上的其他计算机。

封装式五环DDoS保护方法

从概念上讲，Incapsula DDoS保护基于围绕应用程序的一组同心环 ，每个同心环会过滤流量的不同部分。 每个环本身都可以轻松绕开； 但是，它们一致地阻止了几乎所有恶意流量。 尽管某些DDoS攻击可能会在外环停止，但是持久性多矢量攻击只能通过使用全部（或大多数）攻击来停止。

因此，Incapsula可以防御各种黑客尝试和攻击，包括开放Web应用程序安全项目（OWASP）定义的十大威胁：

1. 注射
2. 身份验证和会话管理中断
3. 跨站脚本（XSS）
4. 不安全的直接对象引用
5. 安全配置错误
6. 敏感数据暴露
7. 缺少功能级别的访问控制
8. 跨站请求伪造（CSRF）
9. 使用具有已知漏洞的组件
10. 未经验证的重定向和转发

这是Incapsula解决方案五环方法的工作方式：

环5：客户端分类与第7层体攻击 。 在某些情况下，攻击者可能会使用批量应用程序层攻击（例如HTTP泛洪）来分散注意力，以掩盖其他更具针对性的攻击。 Incapsula使用客户端分类通过比较签名并检查各种属性来识别和过滤这些机器人，这些属性包括：IP和ASN信息，HTTP标头，Cookie支持的变体，JavaScript占用空间以及其他标志。 Incapsula可以区分人和机器人流量，区分“好”机器人和“差”机器人，并识别AJAX和API。

第4环：访客白名单和声誉。 在标记并阻止了恶意流量之后，Incapsula将其余的网站流量划分为“灰色”（可疑）和“白色”（合法）访问者。 封装信誉系统支持此任务。

第3环：用于直接攻击媒介的Web应用防火墙。 除了提供DDoS保护外，Incapsula解决方案还包括企业级Web应用程序防火墙（WAF），可保护网站免受任何应用程序层的威胁，例如SQL注入，跨站点脚本编写，非法资源访问和远程文件包含。 WAF利用先进的流量检查技术和众包技术，以及提供端到端应用程序安全性的广泛专业知识。 高级功能包括自定义规则引擎（IncapRules，在下文中进行了概述），后门外壳保护以及集成的双重身份验证（在第一部分中进行了概述）。

第2环：渐进式挑战。 Incapsula提出了一系列渐进式挑战，旨在确保强大的DDoS保护与不间断的用户体验之间达到最佳平衡。 这个想法是通过使用一组透明的挑战（例如cookie支持，JavaScript执行等）来最小化误报，以提供对客户端（人类或机器人，“好”或“坏”）的精确识别。

环1：行为异常检测。 Incapsula使用异常检测规则来检测复杂的第7层攻击的可能实例。 此环充当自动安全网，以捕获可能已经滑过裂缝的攻击。

环0：专用安全团队。 最终，Imperva的经验丰富的Security Operations Center专业人士团队和24x7支持人员将为您提供有关Incapsula的经验。 他们会主动分析应用程序的内部行为，并在出现任何问题之前检测不规则的使用情况。

下面，Incapsula缓解了250GBps DDoS攻击-Internet上最大的攻击之一：

此外，Incapsula Web Application Firewall已通过PCI认证 （PCI由美国运通，万事达和Visa等全球信用组织创建）：

PCI安全标准委员会是一个开放的全球论坛，于2006年启动，负责PCI安全标准（包括数据安全标准（PCI DSS），支付应用程序数据安全标准（ PA-DSS）和PIN交易安全（PTS）要求。

当然，DDoS保护是在网络外部实现的。 这意味着只有经过过滤的流量才能到达您的主机，从而保护您在硬件，软件和网络基础架构上的投资，同时确保业务的连续性。

用于AWS的封装式DDoS保护

是否使用AWS托管应用程序实际上并不重要，因为Incapsula解决方案的DDoS保护功能将保护您的网站。 但是，如果您是AWS的客户，请不要误以为Amazon会完全保护您-Incapsula提供了重要的附加保护。

与大多数托管平台一样，AWS不是安全平台。 尽管它提供了基本的DDoS缓解功能，例如SYN cookie和连接限制，但它并不是为防御托管的服务器和应用程序而构建的。 如果您的Web服务器遭到应用程序（第7层）DDoS攻击，AWS将无法为您提供保护。 更糟糕的是，如果遭受大型网络（第3层和第4层）DDoS攻击，您将需要支付额外的带宽，并在月底收到巨额账单。 与亚马逊客户服务部门打交道的任何人都知道，退款并不总是那么容易 。

Incapsula通过其基于云的DDoS保护服务对AWS进行了补充。 该服务增强了AWS的基本安全功能，从而使您的关键应用程序受到全面保护，免受所有类型的DDoS攻击。

使用高级流量检查技术，Incapsula DDoS Protection for AWS可自动检测和缓解容量网络（OSI第3层）和复杂的应用程序（第7层）DDoS攻击，对用户的业务中断为零。

它的始终在线服务可确保基于AWS的网站和应用程序免受所有类型的DDoS攻击-从大规模的体积网络（OSI第3和4层）攻击到复杂的应用程序（第7层）攻击。 DDoS渗透的自动检测和透明缓解可最大程度地减少误报，即使在受到攻击时也能确保正常的用户体验。

是否想尝试Incapsula和AWS？

如果您想通过示例EC2实例和简单指南尝试使用Incapsula和AWS，请遵循我在Amazon Cloud中针对WordPress的Tuts +安装指南 ，然后使用本系列的一部分来注册Incapsula并进行简单的DNS更改将其与您的网站集成。 正如我在那集中所描述的那样，结果Swift而令人印象深刻。

当然，如果您使用的是Amazon的DNS服务Route53 ，则与配置通用DNS服务的第一部分中所述的配置站点一样简单。

只需登录到Route53管理控制台，然后浏览到您的域记录集。 从记录列表中，选择要添加到Incapsula的子域，然后在“ 编辑记录集”对话框中编辑记录 。

如果您使用的是CNAME，则如下所示：

如果您使用的是www。 或裸域和A记录，它看起来像这样：

如果您只喜欢视觉演练，请查看Incapsula演示站点以及有关AWS的Incapsula DDoS保护的一些出色资源。

首先，有“ 封装式DDoS保护概述”（pdf） （以下屏幕截图）：

也有这些有用的详细参考资料：

• DDoS响应手册（电子书）
• 如何准备DDoS保护策略（白皮书）
• 准备进行TB级DDoS攻击（网络研讨会）

而且，还有一个用于通用主机（非AWS）的DDoS登陆页面 。

封装服务器执行鲁棒的深度数据包检查，以基于最精细的详细信息识别和阻止恶意数据包。 这使他们能够立即检查每个传入数据包的所有属性，同时以内联速率同时为数百吉比特的流量提供服务。

全球清理中心的700+ Gbps封装网络减轻了最大的DDoS攻击-包括SYN泛洪和DNS放大（可能超过100 Gbps）。 Incapsula网络可按需扩展以应对大规模的DDoS攻击。 这样可确保缓解措施适用于您自己的网络之外，仅允许经过过滤的流量到达您的主机。

很快，Incapsula将为AWS客户提供我上面提到的单个IP基础架构保护 。 配置完成后，您可以使用Amazon的安全组来确保所有外部流量都被限制为源自Incapsula内部。 这样可以避免外部攻击者忽略使用Incapsula的服务并直接攻击您。 本质上，您只需将安全组配置为受封装网络IP地址限制 。

是的，您仍然可以使用CloudFront域为静态文件提供服务，同时使用Incapsula缓解DDoS和AWS的Route 53 DNS。

使用封装管理站点安全

我在第一集中回顾了最初的内容; 配置完网站后，您会在信息中心上看到它的列表：

封装设置可让您完全控制其各种强大功能。 您可以从Web应用程序防火墙（WAF）子菜单中查看DDoS配置：

从那里，您可以配置DDoS的行为。 在“ 高级设置”下，您可以指示“封装”何时以及如何向可疑攻击者发起挑战：

您还可以将IP地址，URL，某些国家或地区列入白名单：

IncapRules筛选器事件和触发操作

仪表板的“ 事件”区域可帮助您过滤，识别并开始响应各种攻击，包括DDoS：

在这里或您自己的规范的帮助下，您可以配置规则以过滤，警告您并自动对这些攻击做出响应。 它们称为IncapRules。 IncapRules子菜单提供有关如何定义更详细规则的完整描述。

添加和管理规则列表非常简单：

IncapRules使您可以利用Incapsula网络的整个强大的流量检查功能。 使用它们，您可以基于HTTP标头内容，地理位置等创建自定义策略。

IncapRules语法依赖于描述性命名的“过滤器”和一组逻辑运算符。 将这些结合使用可形成导致预定义“操作”之一的安全规则（也称为“触发器”）。 这里有一些例子：

在此图中，我们正在配置一个规则，如果活动的会话超过50个，则要求使用Cookie，同时允许来自特定IP地址或Google搜索机器人的更高活动。

为了抵抗暴力攻击，您可以部署相对简单的规则，以限制登录页面中后续POST请求的数量。 例如，此简单的过滤器将在一分钟的时间内由非人类（非浏览器）访问者发出的50多个后续POST请求触发：

Rate > {post-ip;50} & ClientType != Browser [Block Session]

一旦触发，该规则就可以用任何数量的动作做出响应。 在这种情况下，规则设置为[Block Session] ，该会话将立即终止会话。 或者，您可以将操作设置为[Alert] ，它将通过电子邮件和GUI消息透明地通知您有关事件的信息。

当然，通用速率阈值可能会不适当地破坏用户体验。 例如，您可能希望将此限制为您的API和高于正常的请求率。 您可以做的一件事是使用[URL]过滤器调整规则语法，以创建不会由对API URL的POST请求触发的规则：

Rate > {post-ip;50} & URL != /api & ClientType != Browser [Block IP]

当使用具有各种逻辑运算符（例如和/或，大于/小于，和等）的多个过滤器在它们之间进行链接时，IncapRules过滤器集提供了无限的组合-使您可以为每种类型的方案创建自定义安全策略。

您可以在此处了解有关IncapRules和防止暴力攻击的更多信息 ， 也可以尝试一下 ！

接下来我们将探索什么？

希望您喜欢Incapsula DDoS Protection。 尝试使用Incapsula解决方案时，其简单的集成和强大的保护功能使我印象深刻。 如果您的网站应用程序可能会受到大规模攻击，则其DDoS保护将被证明具有极高的价值和成本效益。

接下来，从免费计划开始，我将深入研究Incapsula CDN＆Optimizer，其中包括内容交付网络，最小化，图像压缩，TCP优化，连接预池以及更多功能。

请随时在下面发表您的问题和评论。 您也可以通过Twitter @reifman与我 联系或直接给我发送电子邮件 。 您也可以浏览我的Tuts +讲师页面以阅读我编写的其他教程。

相关链接

• 封装式DDoS保护概述
• 用于Amazon Web Services（AWS）的DDoS封装保护
  
• 封装五环方法实现应用层DDoS保护
  
• 下载Incapsula DDoS保护概述（pdf）
  
• DDoS响应手册（电子书）
• 如何准备DDoS保护策略（白皮书）
• 准备进行TB级DDoS攻击（网络研讨会）
  
• 如何使用Imperva Incapsula（Tuts +）保护您的网站
  
• 封装常见问题
  
• 封装视频通道

翻译自: https://code.tutsplus.com/tutorials/protecting-your-aws-website-from-a-ddos-attack--cms-24631