DDOS介绍
分布式拒绝服务(Distributed Denial of Service,简称DDoS)是指将多台计算机联合起来作为攻击平台,通过远程连接,利用恶意程序对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务
攻击原理
攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。
攻击分类
1、网络层攻击
应用层攻击利用TCP/IP协议族的特征,控制大量傀儡机发送合理的请求来消耗目标主机的CPU和内存资源,由于攻击目标主机资源快速消耗,使得合法用户无法得到所请求的服务
Syn-flood:攻击者利用工具或者操纵僵尸主机,向目标服务器发起大量的TCP SYN报文,当服务器回应SYN-ACK报文时,攻击者不再继续回应ACK报文,这样就会导致服务器上存在大量的TCP半连接,服务器的资源会被这些半连接耗尽,无法响应正常请求
ACK-flood:发送大量ACk报文,服务端会RST包丢弃连接
通信双方通过三次握手建立一个TCP连接的过程中,SYN-ACK报文出现在第二次握手中,是用来确认第一次握手的,一方收到SYN-ACK报文后,首先会判断该报文是不是属于三次握手范畴内的报文,如果都没有进行第一次握手就收到了第二次握手的报文,那么就会向对方发送RST报文,告知对方其发来报文有误,不能建立连接,SYN-ACK Flood攻击正是利用了这一点,攻击者利用工具或操纵僵尸主机,向目标服务器发送大量的SYN-ACK报文,这些报文都属于凭空
出现的第二次握手报文,服务器忙于回复RST报文,导致资源耗尽,无法响应正常的请求
udp-flood:伪造大量虚假源地址的UDP报文,进行攻击
传统的UDP flood攻击时一种消耗对方资源,也消耗自己资源的攻击方式,当你攻击一个服务器,其实也在消耗你系统的资源,说白了就是拼资源,看谁的带宽大,看谁能坚持到最后,这种攻击方式没有技术含量,现在越来越多的黑客使用这种方式,取而代之的是UDP反射放大攻击(利用第三者),近几年越来越多的被黑客所使用
icmp-flood
2、应用层攻击
应用层攻击方式本质还是基于洪水的攻击方式,攻击者通过代理服务器或者僵尸网络向攻击目标发送大量的高频合法请求,目的是消耗主机的资源
http/s Flood:攻击者利用工具或操纵僵尸主机,向目标服务器发起大量的http get/post报文,请求服务器上涉及数据库的url或其他消耗系统资源的URI 造成服务器资源耗尽
慢速连接攻击:在POST提交方式中,允许在http的头中声明content-length ,也就是POST内容的长度,在提交了头以后,将后面的body部分卡主不发送,这时服务器在接受POST长度后,就会等待客户端发送POST的内容,攻击者保持连接并且以10s-100s一个字节的速度去发送,就达到了消耗资源的效果,因此不断地增加这样的链接,就会使得服务器的资源被消耗,最后可能宕机
DNS flood:攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求,为了防止基于ACL过滤,必须提高数据包的随机性,常用的做法是UDP层随机伪造源ip地址,随机伪造源端口等参数,在DNS协议层,随机伪造查询ID以及待解析域名,随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源
攻击方式
混合型攻击:大流量攻击往往混杂了TCP和UDP流量网络层和应用层攻击
反射性攻击:通过将SYN包的源地址设置为目的地址,然后向真实TCP服务器发送TCP的SYN包,而这些收到SYN包的TCP server 为了完成3次握手,把SYN|ACK包发送给目的地址,完成一次“反射攻击”,攻击者隐藏了自身,但是制造的流量是1:1攻击回报率不高,通常与流量放大型攻击合用
流量放大型攻击:使用协议的特性,比如DRDOS,将search type设置为ALL,索索可用的设备和服务,递归效果会产生的放大倍数非常大,攻击者只需以较小的伪源地址查询流量,就可以制造出几十甚至上百倍的应答流量发送至目标
脉冲型攻击:攻击持续时间非常短,通常5分钟,流量图上表现为突刺状的脉冲
链路泛洪型攻击:不直接攻击目标,而是以堵塞目标网络的上级链路为目的,对于使用了IP anycast的企业网络来说,常规的DDOS攻击流量会被分摊到不同的基础设施,这样能有效缓解大流量攻击,所以攻击者发明了一种新的方法,攻击至目标网络tranceroute的倒数第2跳,即上联路由,使链路拥塞,目前国内ISP目前未开放anycast,海外ISP已经支持
防御结构
1、ISP/WAN层
目前运营商能够提供相对成熟的抗D方案:
近源清洗
流量压制
2、CDN/internet层
3、DC层
是近目的清洗主要手段,传统IDC技法在这一层部署专业清洗设备,对流量进行处理回注,防护业务
4、OS/app层,例如源站部署负载均衡增加源站处理性能,在代码层对异常请求做控制
5、链路带宽
防御手段
DDoS产品及解决方案介绍
应用场景
DDOS原生防护(防护包)是一款针对阿里云ECS、SLB、Web应用防火墙、EIP等产品直接提升DDOS防御能力的安全产品,DDoS原生防护可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层、七层域名等限制,同时,DDoS原生防护部署简易,购买后只需要绑定需要防护的云产品IP地址即可使用,几分钟内生效
基础版:默认为阿里云资源公网IP免费开启,无需购买,提供不超过5Gbps的DDoS的基础防护能力
企业版:购买后开启,支持防护阿里云资源公网ip、 如ECS、SLB、EIP、WAF
DDoS高防(新BGP&高防) 是阿里云提供DDoS攻击代理防护服务,当用户的互联网服务器遭受大流量的DDoS攻击时,DDoS高防可以保护其应用服务持续可用,DDoS高防通过DNS解析调度流量到阿里云高防网络,代理接入阿里云DDoS防护系统,抵御流量型和资源消耗型DDoS攻击
DDoS高防支持通过DNS解析和IP直接指向两种引流方式,实现网站域名和业务端口的接入防护,根据用户在DDoS高防服务中为业务配置转发规则,DDoS高防将业务的DNS域名解析或业务IP指向DDoS高防实例IP或CNAME地址进行引流
来自公网的访问流量都将优先经过高防机房,恶意攻击流量将在高防流量清洗中心进行清洗过滤,正常的访问流量通过端口协议转发的方式返回给源站服务器,从而保障源站服务器稳定访问
DDOS高防核心能力
实时检测防御能力
智能调度能力
七层防御能力
全球防御能力
溯源能力
DDoS配置使用流程
防护网站业务
https://help.aliyun.com/document_detail/116655.html?spm=a2c4g.117399.0.0.4fca170fAYiLiv
防护非网站业务
https://help.aliyun.com/document_detail/117399.html?spm=a2c4g.116655.0.0.4a5418cc4twztU
6440
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
