全部產品
Search

搜尋本產品

    Anti-DDoS:緩解DDoS攻擊的最佳實務

    文件中心

    Anti-DDoS:緩解DDoS攻擊的最佳實務

    更新時間:Jun 30, 2024

    分散式阻斷服務攻擊(DDoS攻擊)是一種針對目標系統的惡意網路攻擊行為,DDoS攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。

    常見的DDoS攻擊包括以下幾類:

    • 網路層攻擊

      比較典型的攻擊類型是UDP反射攻擊,例如NTP Flood攻擊。這類攻擊主要利用大流量擁塞被攻擊者的網路頻寬,導致被攻擊者的業務無法正常響應客戶訪問。

    • 傳輸層攻擊

      比較典型的攻擊類型包括SYN Flood攻擊、串連數攻擊等。這類攻擊通過佔用伺服器的串連池資源從而達到拒絕服務的目的。

    • 會話層攻擊

      比較典型的攻擊類型是SSL串連攻擊。這類攻擊佔用伺服器的SSL會話資源從而達到拒絕服務的目的。

    • 應用程式層攻擊

      比較典型的攻擊類型包括DNS flood攻擊、HTTP flood攻擊(即CC攻擊)、遊戲假人攻擊等。這類攻擊佔用伺服器的應用處理資源,消耗伺服器計算資源,從而達到拒絕服務的目的。

    DDoS攻擊緩解方案

    建議阿里雲使用者從以下幾個方面著手緩解DDoS攻擊的威脅:

    • 縮小暴露面,隔離資源和不相關的業務,降低被攻擊的風險。

      • 配置安全性群組

        盡量避免將非業務必需的服務連接埠暴露在公網上,從而避免與業務無關的請求和訪問。通過配置安全性群組可以有效防止系統被掃描或者意外暴露。

        關於安全性群組的詳細介紹,請參見建立安全性群組

      • 使用Virtual Private Cloud(Virtual Private Cloud)

        通過Virtual Private Cloud實現網路內部邏輯隔離,防止來自內網傀儡機的攻擊。

        關於Virtual Private Cloud的詳細介紹,請參見什麼是Virtual Private Cloud

    • 最佳化業務架構,利用公用雲的特性設計Auto Scaling和災備切換的系統。

      • 科學評估業務架構效能

        在業務部署前期或營運期間,技術團隊應該對業務架構進行壓力測試,以評估現有架構的業務吞吐處理能力,為DDoS防禦提供詳細的技術參數指導資訊。

      • 彈性和冗餘架構

        通過負載平衡或異地多中心架構避免單點故障影響整體業務。如果您的業務在阿里雲上,可以靈活地使用負載平衡服務SLB(Server Load Balancer)實現多台伺服器的多點並發處理業務訪問,將使用者訪問流量均衡分配到各個伺服器上,降低單台伺服器的壓力,提升業務吞吐處理能力,這樣可以有效緩解一定流量範圍內的串連層DDoS攻擊。

        關於負載平衡的詳細介紹,請參見入門概述

      • 部署Auto Scaling

        Auto Scaling(Auto Scaling)是根據使用者的業務需求和策略,經濟地自動調整彈性計算資源的管理服務。通過部署Auto Scaling,系統可以有效緩解會話層和應用程式層攻擊,在遭受攻擊時自動增加伺服器,提升處理效能,避免業務遭受嚴重影響。

        關於Auto Scaling的詳細介紹,請參見什麼是Auto Scaling

      • 最佳化DNS解析

        通過智能解析的方式最佳化DNS解析,可以有效避免DNS流量攻擊產生的風險。同時,建議您將業務託管至多家DNS服務商,並可以從以下方面考慮最佳化DNS解析。

        • 屏蔽未經請求發送的DNS響應資訊

        • 丟棄快速重傳資料包

        • 啟用TTL

        • 丟棄未知來源的DNS查詢請求和響應資料

        • 丟棄未經請求或突發的DNS請求

        • 啟動DNS用戶端驗證

        • 對響應資訊進行緩衝處理

        • 使用ACL的許可權

        • 利用ACL、BCP38及IP信譽功能

      • 提供餘量頻寬

        通過伺服器效能測試,評估正常業務環境下所能承受的頻寬和請求數。在購買頻寬時確保有一定的餘量頻寬,可以避免遭受攻擊時頻寬大於正常使用量而影響正常使用者的情況。

    • 伺服器安全強化,提升伺服器自身的串連數等效能。

      對伺服器上的作業系統、軟體服務進行安全強化,減少可被攻擊的點,增大攻擊方的攻擊成本:

      • 確保伺服器的系統檔案是最新的版本,並及時更新系統補丁。

      • 對所有伺服器主機進行檢查,清楚訪問者的來源。

      • 過濾不必要的服務和連接埠。例如,對於WWW伺服器,只開放80連接埠,將其他所有連接埠關閉,或在防火牆上設定阻止策略。

      • 限制同時開啟的SYN半串連數目,縮短SYN半串連的timeout時間,限制SYN、ICMP流量。

      • 仔細檢查網路裝置和伺服器系統的日誌。一旦出現漏洞或是時間變更,則說明伺服器可能遭到了攻擊。

      • 限制在防火牆外進行網路檔案分享權限設定。降低駭客截取系統檔案的機會,若駭客以特洛伊木馬替換它,檔案傳輸功能將會陷入癱瘓。

      • 充分利用網路裝置保護網路資源。在配置路由器時應考慮針對流控、包過濾、半連線逾時、垃圾包丟棄、來源偽造的資料包丟棄、SYN閾值、禁用ICMP和UDP廣播的策略配置。

      • 通過iptable之類的軟體防火牆限制疑似惡意IP的TCP建立串連,限制疑似惡意IP的串連、傳輸速率。

    • 做好業務監控和應急響應。

      • 關注基礎DDoS防護監控

        當您的業務遭受DDoS攻擊時,基礎DDoS預設會通過簡訊和郵件方式發出警示資訊,建議您在接收到警示後進行應急處理。

        關於配置警示訊息接收人,請參見設定DDoS基礎防護和原生防護攻擊事件警示

      • CloudMonitor

        CloudMonitor服務可用於收集、擷取阿里雲資源的監控指標或使用者自訂的監控指標,探測服務的可用性,並支援針對指標設定警報。

        關於CloudMonitor的詳細介紹,請參見什麼是CloudMonitor

      • 建立應急響應預案

        根據當前的技術業務架構和人員,提前準備應急技術預案,必要時可以提前進行技術演練,以檢驗應急響應預案的合理性。

    • 選擇合適的商業安全方案。阿里雲既提供了免費的基礎DDoS防護,也提供了商業安全方案。

      • Web Application Firewall(WAF)

        針對網站類應用,例如常見的HTTP Flood攻擊,可以使用WAF針對串連層攻擊、會話層攻擊和應用程式層攻擊進行有效防禦。

        關於WAF的詳細介紹,請參見什麼是Web Application Firewall

      • DDoS原生防護

        DDoS原生防護為雲產品IP提供針對DDoS攻擊的共用全力防護能力,即時生效。

        關於DDoS原生防護的詳細介紹,請參見什麼是DDoS原生防護

      • DDoS進階防護

        針對大流量DDoS攻擊,建議使用阿里雲DDoS高防服務。

        關於DDoS高防的詳細介紹,請參見什麼是DDoS高防

    應當避免的事項

    DDoS攻擊是業內公認的行業公敵,DDoS攻擊不僅影響被攻擊者,同時也會對服務商網路的穩定性造成影響,從而對處於同一網路下的其他使用者業務也會造成損失。

    電腦網路是一個共用環境,需要多方共同維護穩定,部分行為可能會給整體網路和其他租戶的網路帶來影響,需要您注意:

    • 避免使用或利用雲產品機制(產品包括但不限於OSS,DNS,ECS,SLB,EIP等)在雲上搭建提供DDoS防禦服務。

    • 避免釋放處於黑洞狀態的執行個體。

    • 避免為處於黑洞狀態的伺服器連續更換、解除綁定、增加SLB IP、Elastic IP Address、NAT Gateway等IP類產品。

    • 避免通過搭建IP池進行防禦,避免通過分攤攻擊流量到大量IP上進行防禦。

    • 避免利用阿里雲非網路安全防禦產品(包括但不限於CDN、OSS),前置自身有攻擊的業務。

    • 避免使用多個帳號的方式繞過上述規則。