ESA結合DDoS資料分析看板、網路層/傳輸層(L3/L4)防禦和應用程式層(L7)防禦,來抵禦外部的DDoS的攻擊。
什麼是DDoS攻擊
分散式阻斷服務(DDoS)攻擊的目的不是竊取資料,而是通過消耗資源的方式,讓業務陷入癱瘓。
攻擊者通過控制大量被感染的電腦、伺服器甚至物聯網裝置(這些裝置被稱為“殭屍網路”),在同一時間向目標網站或應用伺服器發起海量無效或惡意的訪問請求。這些請求會在瞬間耗盡目標伺服器的頻寬、CPU、記憶體等資源,最終導致目標的服務響應緩慢甚至完全中斷,使正常使用者無法訪問。
DDoS攻擊的工作原理
DDoS攻擊的實施通常分為三個步驟:
組建殭屍網路: 攻擊者通過各種手段(如病毒、木馬、漏洞利用)在互連網上感染和控制大量的終端裝置,將它們組建成一個龐大的、聽其號令的“殭屍網路”。
下達攻擊指令: 攻擊者通過控制端伺服器,向所有“殭屍主機”下達攻擊指令,指定要攻擊的目標(例如您的網站IP地址或網域名稱)。
發起集火攻擊: 遍布全球的“殭屍主機”在收到指令後,立刻從四面八方向您的伺服器發起海量請求,形成一股巨大的攻擊流量,最終壓垮您的服務。
由於攻擊源頭極其分散,遍布全球,這使得追蹤和封堵攻擊源變得異常困難。
常見的DDoS攻擊類型
DDoS攻擊手段繁多,根據攻擊方式的不同,可以分為以下兩種:
網路層/傳輸層(L3/L4)攻擊
工作原理: 這類攻擊主要針對網路基礎設施,通過發送大量構造的TCP或UDP資料包,快速耗盡伺服器的頻寬資源或串連數表,使得正常的使用者請求無法到達伺服器。
常見類型: SYN Flood、UDP Flood、ACK Flood等。
特點: 流量巨大,簡單粗暴,旨在用絕對的流量壓垮目標。
應用程式層(L7)攻擊
工作原理: 這類攻擊模仿正常使用者的行為,向目標應用程式發起大量看似合法的請求(如HTTP GET/POST請求)。它不像堵塞公路,更像是派了無數“假顧客”去佔用店裡所有服務員的時間,讓他們處理各種複雜的諮詢,從而耗盡伺服器的CPU、記憶體等應用處理資源。
常見類型: HTTP Flood,通常也被稱為CC攻擊(Challenge Collapsar)。
特點: 流量不一定巨大,但請求非常複雜,攻擊流量與正常使用者流量混雜在一起,難以分辨,防護難度更高。
如何判斷是否遭受了DDoS攻擊
如果業務出現以下一個或多個情況時,可能正在遭受DDoS攻擊:
網站或應用突然無法訪問,或響應速度變得極慢。
網路流量異常激增,遠超正常業務峰值。您可以在ESA控制台的網站概況頁中的數據概覽報表直觀地看到這一變化。
伺服器CPU或記憶體使用量率飆升,長時間處於100%的滿負荷狀態。
日誌中出現海量請求,這些請求通常來自大量不同的、無規律的IP地址。您可以使用ESA安全防護的安全分析功能來進行快速排查。
ESA中DDoS防護功能介紹
分類 | 功能項 | 功能描述 |
抵禦網路層/傳輸層攻擊(L3/L4層攻擊) | ESA為Entrance、Pro、Premium套餐預設提供DDoS基礎防護(即平台級防護),DDoS基礎防護可防護不高於10Gbps的DDoS攻擊但不承諾具體數值。 | |
Enterprise可加購最高Tbps級全力防護,且支援同時防護四層代理業務。 | ||
抵禦應用程式層攻擊(L7層攻擊) | HTTP DDoS攻擊防護是阿里雲DDoS防護引擎基于海量歷史攻防經驗沉澱的通用防護規則,這些通用的防護規則可以減少攻擊發生瞬間透傳到來源站點的CC攻擊。 | |
攻擊發生時,防護引擎會持續學習攻擊特徵,並智能產生動態、更具針對性的防護策略,進一步提升攔截效果(此過程通常在數分鐘內完成)。 | ||
DDoS攻擊資料分析 | ESA會將DDoS攻擊結果根據網路層次進行分類,針對攻擊峰值、頻寬進行統計並且可即時顯示清洗事件處理進程。 | |
ESA將DDoS攻擊根據網路層次進行分類為:流量型(網路層攻擊)、Web資源耗盡型(應用程式層攻擊)。可以根據時間跨度以及攻擊類型篩選查看攻擊詳情。 |