日志审计携手 DDoS 防护助力云上安全

日志审计携手DDoS防护助力云上安全

1 背景介绍

设想一下，此时你正在高速公路上开车去上班，路上还有其他汽车，总体而言，大家都按照清晰的合法速度平稳驾驶，当你接近入口坡道的时候，会有更多的车辆加入，然后入口处的车辆越来越多，越来越多，直到所有的交通都慢了下来，最后原来的通行入口拒绝了所有车辆的通过请求。若把通行入口比作服务器的某些资源，那么这就是现实中的一种DDoS案例。

1.1 DDoS攻击

那么什么是DDoS呢？分布式拒绝服务（Distributed Denial of Service，简称DDoS) 是指多台计算机联合起来通过恶意程序对一个或多个目标发起攻击，从而影响计算机的性能或消耗网络带宽，使原目标服务器无法提供正常服务1。当目标服务器受到DDoS攻击影响后，带来的不仅仅是巨大的经济利益损失，甚至很可能造成核心数据的泄漏，因此对DDoS进行防护就非常有必要。

图1 2020.10.10 各个国家遭受DDOS攻击https://www.digitalattackmap.com/

1.2 日志审计服务

日志审计服务是在继承现有日志服务所有功能外，还支持多账户下实时自动化、中心化采集云产品日志并进行审计，以及支持审计所需的存储、查询及信息汇总。将DDoS防护和日志审计结合起来使用，可以帮助用户更清晰的掌握实时DDoS防护情况，也可以对已有防护事件进行回溯和复盘，从而更好地保障用户安全体验。目前日志审计已支持多种云产品，本文主要介绍日志审计结合DDoS防护助力云上安全。

2 DDOS防护

2.1 DDoS攻击案例

每一台网络中的服务器都有可能受到DDoS攻击。根据F5 labs的2020 DDoS攻击趋势报告2，受到最多的攻击行业有教育、金融、游戏、技术、电信等，但这并不意味其他行业就是绝对安全的，因为发起DDoS攻击对于潜在的黑客来说，有非常低的准入门槛，不仅Youtube上有大量创建僵尸网络的教程，DDoS出租服务也为哪些希望从零发起攻击的人提供非常低廉的价格。下面我们来看看迄今为止，五大著名的DDoS攻击案例3。

• 2017年，谷歌遭受DDoS攻击。根据谷歌安全分析小组在2020年10月16日公布的关于威胁和威胁因子的一篇博客，谷歌安全可靠性团队在2017年检测到破纪录的UDP放大攻击，其bps峰值达2.5T。
• 2020年2月，AWS遭受了一次巨大的DDoS攻击，攻击持续3天，带宽达到每秒2.3TB，攻击者利用CLDAP（Connectionless Lightweight Directory Access Protocal）反射技术，该技术依赖于易受攻击的第三方服务器，并将发送到受害者IP地址的数据量放大56-70倍。
• 2016年Brian Kerbs 和OVH 遭受DDoS攻击。Brian Kerbs是著名的安全专家，其博客自2012年就经受各种攻击的考验，然而2016年9月20日的攻击比他所有曾经遭受的攻击的三倍还要多。攻击源是Mirai僵尸网络控制的约60万台的IoT设备，例如IP相机，家庭路由等等。 Mirai在9月还攻击了另一个OVH公司，OVH是欧洲最大的网络托管服务供应商。
• 2016年 9月30日，Mirai的作者在论坛上发布了其源代码，并随后被复制成各种各样的版本，2016年10月21日，主要DNS服务商Dyn遭到每秒1TB的流量泛洪攻击，影响了包括Github、HBO、Twitter、Nexflix等知名网站的访问。
• 2018年2月28日，github遭受了每秒1.35Tb的DDoS攻击，攻击时长达约20分钟，即使Github早就为DDoS做好的充分准备，但是他们的DDoS防护对于此流量的攻击还是显得有些力不从心。

2.2 DDoS防护手段

若要缓解 DDoS 攻击，关键在于区分正常流量与攻击流量。例如，如果因发布某款新品导致公司网站涌入大批热情客户，那么全面切断流量是错误之举。如果公司从已知恶意用户处收到突然激增的流量，那么则需要努力对抗攻击。在现代互联网中，DDoS 流量的形式和设计五花八门，从非欺骗性单源攻击到复杂的自适应多方位攻击无所不有。

黑洞策略就是指当阿里云公网IP资产受到大流量DDoS攻击，其峰值带宽bps超过DDoS的防御能力时，资产IP会进入黑洞状态，即屏蔽IP所有in的互联网流量，黑洞状态可以自动解封（当达到默认解封时间后），也支持提前手动解封（DDoS原生企业版以及高防新bgp版）。但这不是理想的解决方案，因为它相当于让攻击者达成预期的目的&#x