开通Web 应用防火墙 WAF(Web Application Firewall)后,阿里云默认为WAF提供最大5 Gbps的DDoS基础防护能力。DDoS基础防护通过对进入WAF的流量进行清洗,有效防御DDoS攻击,缓解WAF因流量激增进入黑洞。本文介绍什么是DDoS基础防护、如何防御WAF进入黑洞、WAF进入黑洞后如何处理。
DDoS基础防护
防护能力
阿里云免费为Web 应用防火墙 WAF(Web Application Firewall)提供最大5 Gbps的DDoS基础防护能力。不同地域支持的最大免费防护规格不同,更多信息,请参见DDoS基础防护黑洞阈值。
防护原理
在不影响正常业务的前提下,DDoS基础防护会对流入WAF的流量(包括正常流量和攻击流量)进行清洗,将可疑DDoS攻击流量从原始网络路径中重定向到清洗设备上,识别并剥离恶意流量后,将还原的合法流量回注到原始网络中转发给WAF,有效防御DDoS攻击。
流量清洗
当流入WAF的流量触发流量清洗条件时,DDoS基础防护会对流量进行清洗。实例处于清洗状态时,您可以在Web应用防火墙3.0控制台顶部横幅区域收到提示信息。
清洗条件
当流入WAF的流量满足流量模型特征,且达到设置的清洗阈值时,会触发流量清洗。
流量模型的特征:DDoS基础防护能够基于阿里云的大数据能力,自动学习您的业务流量基线,并结合算法识别异常攻击。
流量大小:根据实际QPS设置的清洗阈值。一个WAF实例防护的公网IP资产的清洗阈值相同,包括独享IP、共享集群智能负载均衡的所有防护节点。
说明如果流入WAF的业务带宽超过清洗阈值,但没有被识别到攻击行为,则不会触发清洗操作。
清洗阈值
流量清洗的方法包括过滤攻击报文、限制流量速度、限制数据包速度等。所以,在使用DDoS基础防护时,您需要设置以下阈值:
BPS(Bits per Second,数据传输速率)清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。
PPS(Packet per Second,数据包收发速率)清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
WAF的清洗阈值由实际业务QPS决定,具体计算方式如下表所示。
类型
对应值
最大BPS清洗阈值(Mbps)
MAX(800,QPS*4.5/150)
最大PPS清洗阈值(pps)
MAX(800000,QPS*4.5)
最终清洗阈值以控制台显示为准。
查看和设置清洗阈值
系统默认清洗阈值为DDoS基础防护支持的最大清洗阈值。如果该阈值过高,无法触发流量清洗,您可以修改清洗阈值。
登录流量安全产品控制台。
在左侧导航栏,单击资产中心。
在顶部菜单栏左上角处,选择资产所在地域。
单击WAF页签,定位到目标实例,在清洗阈值列,查看最大BPS清洗阈值、最大PPS清洗阈值。
可选:如果实例对应的阈值不符合您的实际业务情况,您可以修改清洗阈值。
定位到目标实例,单击对应IP。
在IP详情页面,单击清洗设置。
在清洗设置面板,为当前目标实例设置清洗阈值并单击确定。
系统默认:DDoS基础防护服务根据WAF实例的流量负载自动调整清洗阈值。
- 手动设置:由您设置流量和报文数量的清洗阈值。说明 当DDoS检测到攻击时,如果流量或者报文数量其中之一达到阈值,就会触发流量清洗。清洗阈值手动设置建议:
- 清洗阈值需要略高于实际访问值。阈值如果设置过高,起不到防御效果;如果设置过低,DDoS原生防护触发流量清洗可能会影响正常的访问。
- 如果清洗影响了正常的请求,请适当调高清洗阈值。
- 网站进行推广或促销活动时,建议您适当调高清洗阈值。
黑洞
当流入WAF的峰值带宽(清洗后的流量带宽、没有DDoS攻击行为的流量带宽)超过DDoS基础防护阈值5 Gbps,WAF将进入黑洞。进入黑洞后,所有访问WAF的流量(包括正常请求和攻击请求)都会被丢弃。
一个WAF实例防护的公网IP资产的黑洞阈值(即最大防护能力)相同,包括独享IP、共享集群智能负载均衡的所有防护节点。
此时,您会在Web应用防火墙3.0控制台顶部横幅区域,收到提示信息。
为避免因WAF进入黑洞造成您的网站长时间无法被访问,我们建议您在信息中心的语音接收管理页面,勾选DDoS黑洞的语音报警通知,并设置消息接收人。具体操作,请参见配置消息中心报警。
当WAF进入黑洞时,即使在夜间,您也将收到语音提醒,请您及时上线处理。
如何预防黑洞
DDoS防御能力越大,黑洞阈值就越大,WAF被DDoS攻击导致触发黑洞的可能就越低。如果DDoS基础防护的防御能力不能满足您的业务需要,您可以通过购买商用版DDoS防护产品,例如DDoS原生防护或DDoS高防服务,提升DDoS防御能力,避免WAF进入黑洞。关于DDoS选型的更多信息,请参见如何选择DDoS防护产品。
如何解除黑洞
手动解除:如果您希望立即解除黑洞,您可以在WAF控制台顶部横幅区域,单击解除黑洞,参考黑洞自动解除最佳实践,手动解除黑洞状态。具体操作,请参见黑洞自动解除最佳实践。
自动解除:您也可以耐心等待,当DDoS攻击结束后的一段时间(即黑洞自动解除时间),DDoS基础防护会自动为WAF解除黑洞,恢复互联网访问。
您可以在流量安全产品控制台的资产中心页面,查看当前解除黑洞时间。同一UID的黑洞次数越多,黑洞时间越长。
独享IP或共享集群智能负载均衡与黑洞
开启独享IP或共享集群智能负载均衡,并不能直接防御WAF进入黑洞,但可以避免重要IP因WAF被黑洞而无法访问、保证业务流量正常从WAF回源服务器。
WAF处于清洗或黑洞状态时,不支持开启独享IP、共享集群智能负载均衡。
开启独享IP
所有域名接入同一个WAF实例后会默认分配一个共享的IP,用于监听相关业务请求。独享IP则支持单独为某个域名额外分配一个WAF IP,专门用于监听该域名的业务请求,且不受共享WAF IP的影响。更多信息,请参见域名独享IP。
开启独享IP后,共享WAF IP和独享IP的黑洞状态相互不受影响。
如果独享IP进入黑洞后,关闭独享IP,DDoS攻击可能会转移到默认分配的共享WAF IP中,从而影响其他域名的正常业务。
开启共享集群智能负载均衡
共享集群智能负载均衡为WAF实例配备至少三个不同地域的防护节点,以实现异地多节点自动容灾,同时通过智能DNS解析能力和Least-time回源算法,保证业务流量从接入防护节点到转发回源站服务器整个链路的路径和时延最短。更多信息,请参见智能负载均衡。
开启共享集群智能负载均衡后,如果某个地域的防护节点进入黑洞,WAF会自动为您切换防护节点,保证业务流量正常从WAF回源服务器。
关闭共享集群智能负载均衡后,如果某个防护节点进入黑洞,则会影响该条链路的业务无法正常回源到服务器。
常见问题
WAF配置了多个域名,如何查看是哪个域名被攻击?
一般情况下,黑客会解析某个已接入WAF防护的域名,在获取WAF IP后,对其发起DDoS攻击。大流量的DDoS攻击都是针对WAF IP,从攻击流量中无法得知具体哪个域名被攻击。
您可以使用域名拆分来获知哪个域名被攻击。例如,您可以将部分域名解析到WAF,部分域名解析到其他地址(ECS源站、CDN或SLB 等),如果拆分之后WAF不再被黑洞,说明黑客的攻击目标在拆分出去的部分域名。但是,这种方式操作比较复杂,且可能导致源站等其他资产的暴露,从而引发更大的安全问题。因此,除非在必要情况下,不建议您通过这种方式来判断哪个域名被攻击。
通过更换WAF IP,是否就能不会被黑洞了?
更换WAF IP无法解决实际问题。
WAF处于清洗或黑洞状态时,删除所有域名后重新接入域名、关闭WAF实例重新购买实例后,WAF会为实例分配原来被DDoS攻击的WAF IP。
说明解除清洗或黑洞后,如果您希望重新分配新WAF IP,可执行如下操作:
删除所有域名后,重新接入WAF。
开启独享IP和共享集群智能负载均衡。
如果黑客针对您的域名进行攻击,即使您更换了WAF IP,黑客只需要ping您的域名就能获取到更换后的IP,并且继续发起DDoS攻击。
DDoS攻击和CC攻击有什么区别?WAF为什么不能防御DDoS攻击?
大流量的DDoS攻击主要是针对IP的四层攻击,而CC攻击是针对七层应用的攻击(例如HTTP GET/POST Flood)。WAF可以防御CC攻击,但对于大流量的DDoS攻击,由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗,只能通过DDoS防护服务来防护。
针对CC攻击,使用DDoS高防还是Web应用防火墙?
CC攻击通过使用代理服务器向客户目标服务器发送大量看似合法的请求,导致服务器性能异常问题。
Web应用防火墙的CC防护策略需要根据业务需求,手动配置合理的防护策略。例如,使用WAF自定义防护策略功能的频率设置,根据业务需求调整防护路径和触发防护的阈值,选择合适的处置动作。对于请求特征不合理,在分析异常的请求特征基础上,使用WAF自定义防护策略的ACL访问控制规则设置对应的封禁策略。对于面向中国用户的站点,在遭受攻击时通过封禁海外访问来缓解攻击。对于爬虫造成负载飙升等异常,开启并使用Bot管理模块。
DDoS高防:针对复杂CC攻击可实现自动化防护,根据攻击的实际情况快速自动地适配并调整防护策略。AI智能防护自学习网站业务流量基线,结合算法分析攻击异常,自动下发精确的访问控制规则。
从防护能力来说,DDos高防提供了更强大的防御峰值能力。从精细化策略设置,WAF提供了更细粒度的应用层精准访问控制及限速能力。如果您的CC攻击水位很高,优先建议DDoS高防,如果CC攻击水位不是很高,且需要应用层细粒度的访问控制策略、混合爬虫攻击,优先建议Web应用防火墙。