通過DDoS分析和攻擊詳情功能,可以最多對過去30天的DDoS防護資料進行統計,包括網路層、應用程式層、攻擊防護詳情記錄等維度,可以協助業務安全健康監測以及防護策略調整。
該功能僅支援Enterprise使用者使用。
DDoS攻擊分析
ESA會將DDoS攻擊結果根據網路層次進行分類,針對攻擊峰值、頻寬進行統計並且可即時顯示清洗事件處理進程。
網路層流量監控
在網路層DDoS攻擊檢測中,同步監測頻寬bps(bits per second)與包速率pps(packets per second)是識別攻擊特徵的核心手段。
bps指標:量化攻擊流量對物理鏈路容量的消耗,當攻擊流量持續佔用95%以上頻寬時,將直接導致合法業務流量的傳輸中斷。
pps指標:反映裝置的資料包處理能力負載,高頻小包攻擊即使僅佔用較小的頻寬,也可能因每秒超百萬資料包(>1Mpps)超出裝置包轉寄極限,觸發CPU過載或會話表耗盡。
二者結合可精準區分攻擊類型:大包泛洪攻擊表現為高bps/低pps特徵,而串連耗盡型攻擊呈現低bps/高pps特性。缺少任一指標將導致防禦策略失效,例如忽略pps監測將無法檢測低頻寬高強度的協議棧資源耗盡攻擊。可以參考以下操作擷取bps以及pps資料:
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在DDoS頁面,單擊DDoS分析頁簽,選擇網路層頁簽。
根據業務需求,在時間篩選區域選擇資料統計區間,即可展示所選時間區間的網路層流量詳細情況,同時ESA將為您統計出區間內的攻擊頻寬峰值和攻擊包速峰值。
應用程式層流量監控
在應用程式層DDoS攻擊檢測中,請求速率QPS(Queries Per Second)是識別惡意流量的核心指標。應用程式層的攻擊一般是通過類比合法業務請求耗盡服務端資源,其流量特徵在網路層(bps/pps)通常無顯著異常,而QPS直接量化應用程式層負載強度。可以參考以下操作擷取QPS資料:
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在DDoS頁面,單擊DDoS分析頁簽,選擇應用程式層頁簽。
根據業務需求,在時間篩選區域選擇資料統計區間,即可展示所選時間區間的應用程式層流量詳細情況,同時ESA將為您統計出區間內的HTTP清洗峰值和HTTPS清洗峰值。
清洗事件監控
當業務系統在遭受大規模DDoS攻擊時,ESA會通過清洗動作對流量進行即時監測、分析和過濾,將惡意攻擊流量從正常流量中分離出來,並進行阻斷或丟棄,只讓合法的正常流量到達目標伺服器,從而保障伺服器的正常運行和網路服務的可用性。針對不同層級的攻擊會有不同的清洗事件觸發機制:
網路層清洗事件:攻擊達到 5Gbps 以上,就有可能觸發清洗。
應用程式層清洗事件:系統會基於網域名稱訪問QPS、來源站點異常狀態代碼的資料基準進行深度學習,根據實際業務規模進行清洗。
可以參考以下操作擷取詳細的清洗事件記錄:
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在DDoS頁面,單擊DDoS分析頁簽,根據需要選擇網路層或者應用程式層頁簽,下滑至頁面底部即可查看清洗事件詳情。
攻擊詳情分析
ESA將DDoS攻擊根據網路層次進行分類為:流量型(網路層攻擊)、Web資源耗盡型(應用程式層攻擊)。可以根據時間跨度以及攻擊類型篩選查看攻擊詳情。
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在DDoS頁面,單擊攻擊詳情頁簽,在下拉框選擇攻擊類型以及時間區間即可查看流量型攻擊峰值、Web資源耗盡型攻擊峰值、串連型攻擊峰值以及攻擊事件詳情。