騰訊云：遭遇DDoS攻擊怎么防？

導(dǎo)語(yǔ) | 最近幾個(gè)月處理過(guò)多起DDoS攻擊案例，從實(shí)際案例中總結(jié)了一些防護(hù)經(jīng)驗(yàn)希望可以幫助到需要的同仁。本文主要分享DDoS攻擊原理、以及實(shí)際攻擊過(guò)程以及如何選擇DDoS防護(hù)方案。

一、DDOS攻擊原理概述

Distributed Denial of Service（DDoS），即分布式拒絕服務(wù)攻擊，是指攻擊者通過(guò)遠(yuǎn)程連接惡意程序控制大量僵尸主機(jī)（全國(guó)范圍甚至全球范圍的主機(jī)）向一個(gè)或多個(gè)目標(biāo)發(fā)送大量攻擊請(qǐng)求，消耗目標(biāo)服務(wù)器性能或網(wǎng)絡(luò)帶寬，導(dǎo)致其無(wú)法響應(yīng)正常的服務(wù)請(qǐng)求。

常見(jiàn)攻擊類型包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood以及DNS/NTP/SSDP/memcached反射型攻擊。

DDoS攻擊會(huì)對(duì)您的業(yè)務(wù)造成以下危害：

當(dāng)DDoS攻擊打滿企業(yè)的業(yè)務(wù)帶寬時(shí)就會(huì)導(dǎo)致用戶無(wú)法正常訪問(wèn)您的業(yè)務(wù)，最終造成巨大經(jīng)濟(jì)損失。

由于某些行業(yè)的惡性競(jìng)爭(zhēng)，競(jìng)爭(zhēng)對(duì)手可能會(huì)通過(guò)DDoS攻擊手段來(lái)打擊您的業(yè)務(wù)，最終導(dǎo)致您的業(yè)務(wù)在競(jìng)爭(zhēng)中失敗。

二、DDos攻擊案例解析

背景：企業(yè)A的test業(yè)務(wù)一個(gè)月內(nèi)遭遇多次DDoS攻擊，攻擊流量從最初的不到10Gbps到最后攻擊流量高達(dá)300多G的防護(hù)優(yōu)化過(guò)程。

業(yè)務(wù)域名：test.com

域名解析的IP：主CLB 1.1.1.1(公網(wǎng)帶寬1Gbps)、備份CLB 1.1.1.2

1）第一波DDoS攻擊屬于試探性的,采用的是SYN Flood攻擊,攻擊流量8Gbps。假設(shè)攻擊目標(biāo)IP：1.1.1.1當(dāng)時(shí)業(yè)務(wù)架構(gòu)圖如下：

由于攻擊流量沒(méi)有超過(guò)贈(zèng)送的防護(hù)流量10G，所以本次攻擊對(duì)test業(yè)務(wù)沒(méi)有任何影響，同時(shí)也沒(méi)有引起企業(yè)A的重視。

2）第二波DDos攻擊的流量已經(jīng)增加到40Gbps，由于本次攻擊遠(yuǎn)遠(yuǎn)超過(guò)贈(zèng)送的10G防護(hù)值（也超過(guò)CLB的公網(wǎng)帶寬1Gbps），導(dǎo)致主IP：1.1.1.1被封禁后業(yè)務(wù)test無(wú)法訪問(wèn)。

雖然主CLB因?yàn)镈DOS攻擊無(wú)法提供服務(wù)，但是可以通過(guò)DNSpod快速切換到備份VIP：2.2.2.2實(shí)現(xiàn)在10分鐘內(nèi)恢復(fù)了90%的用戶訪問(wèn)（前提是準(zhǔn)備了備份VIP可以切換）。

針對(duì)上述場(chǎng)景有兩種解決方案：

將重要的業(yè)務(wù)VIP加入到高防包，那么后續(xù)攻擊會(huì)通過(guò)高防包來(lái)清洗攻擊流量；

將重要的業(yè)務(wù)VIP綁定到高防IP，那么后續(xù)攻擊會(huì)先經(jīng)過(guò)高防IP清洗后回源到實(shí)際業(yè)務(wù)VIP；

最終公司A選擇了最大防護(hù)能力為300G的高防IP，來(lái)規(guī)避類似DDoS攻擊。

3）第三波DDos攻擊的流量增加到160Gbps，由于購(gòu)買了高防IP防護(hù)能力高達(dá)300G，所以本次攻擊對(duì)業(yè)務(wù)沒(méi)有影響。

雖然本次攻擊防護(hù)成功，但是還需要考慮極端情況，如果攻擊流量超過(guò)300G，那么還是有影響業(yè)務(wù)訪問(wèn)的風(fēng)險(xiǎn)。為了防護(hù)超300G攻擊流量，建議購(gòu)買三網(wǎng)防護(hù)IP，理論上可以提供1Tbps防護(hù)能力。

4）第四波DDoS攻擊的流量超300Gbps，導(dǎo)致高防IP：3.3.3.3被封禁，但是兜底方案通過(guò)cname自動(dòng)切換解析指向三網(wǎng)IP（分別是電信、聯(lián)通、移動(dòng)的公網(wǎng)IP）最終恢復(fù)業(yè)務(wù)訪問(wèn)。

當(dāng)高防IP被封禁后會(huì)立即通過(guò)cname切換解析到三網(wǎng)IP，整個(gè)解析切換過(guò)程是秒級(jí)的，也就是雖然高防IP被封禁但是恢復(fù)時(shí)間可以做到秒級(jí)。

5）通過(guò)該案例可以看出，攻擊從一開(kāi)始的試探性，到逐步加大攻擊流量，業(yè)務(wù)影響時(shí)長(zhǎng)從分鐘級(jí)到秒級(jí)。只要防護(hù)到位還是可以減少業(yè)務(wù)受損時(shí)長(zhǎng)，甚至完全規(guī)避業(yè)務(wù)受損。但是安全防護(hù)能力是需要付出成本的，也有很多企業(yè)因?yàn)槌杀驹蜻x擇更適合自身的防護(hù)方案。

三、DDoS防護(hù)方案對(duì)比

1）DDoS基礎(chǔ)防護(hù)方案（免費(fèi)）

防護(hù)對(duì)象：適用于騰訊云產(chǎn)品（如EIP、CLB等）

防護(hù)能力：普通用戶可享受2Gbps防護(hù)，VIP用戶可享受10Gbps防護(hù)。

配置方法：無(wú)需配置，自動(dòng)為云內(nèi)產(chǎn)品IP開(kāi)啟防護(hù)。

2）DDoS高防包方案

防護(hù)對(duì)象：適用于騰訊云產(chǎn)品，包括CVM、CLB、WAF、黑石物理服務(wù)器、黑石負(fù)載均衡、NAT IP、EIP、GAAP IP等，同時(shí)也適用于有大量云產(chǎn)品IP需要防護(hù)的用戶。

防護(hù)能力：在用戶購(gòu)買的防護(hù)次數(shù)范圍內(nèi)（建議不限次數(shù)，避免次數(shù)限制導(dǎo)致影響業(yè)務(wù)），騰訊云提供不低于30Gbps的DDoS防護(hù)能力，最高防護(hù)能力根據(jù)各個(gè)區(qū)域的實(shí)際網(wǎng)絡(luò)情況動(dòng)態(tài)調(diào)整。

3）DDoS高防IP方案

防護(hù)對(duì)象：支持TCP，UDP，HTTP和HTTPS業(yè)務(wù)（默認(rèn)支持websocket）。

防護(hù)能力：BGP線路最高提供300Gbps的防護(hù)能力，三網(wǎng)線路最高可提供1Tbps的防護(hù)能力。

從三種方案對(duì)比可以發(fā)現(xiàn)防護(hù)能力最高的就是高防IP，具體采用高防包方案還是高防IP方案要根據(jù)歷史攻擊數(shù)據(jù)以及預(yù)算來(lái)決定。如果您的防護(hù)對(duì)象既有騰訊云內(nèi)的公網(wǎng)IP也有IDC的公網(wǎng)IP，同時(shí)要求防護(hù)能力比較夠可以優(yōu)先選擇高防IP。如果對(duì)防護(hù)能力低于100G，同時(shí)希望保留原有業(yè)務(wù)IP可以優(yōu)先考慮高防包。

四、其他注意事項(xiàng)

1）使用DDoS高防包的用戶每天將擁有三次自助解封機(jī)會(huì)，在您需要緊急恢復(fù)業(yè)務(wù)情況下，通過(guò)控制臺(tái)防護(hù)概覽界面進(jìn)行自助解封。（系統(tǒng)將在每天零點(diǎn)時(shí)重置自助解封次數(shù)，當(dāng)天未使用的解封次數(shù)不會(huì)累計(jì)到次日。）

2）DDoS高防包僅對(duì)騰訊云內(nèi)的公網(wǎng)IP提供DDoS防護(hù)支持。如需云外的公網(wǎng)IP防護(hù)，請(qǐng)您購(gòu)買DDoS高防IP，支持網(wǎng)站域名和業(yè)務(wù)端口的接入防護(hù)。

3）DDoS高防支持對(duì)訪問(wèn)DDoS高防的源流量按照協(xié)議類型一鍵封禁。您可配置ICMP協(xié)議封禁、TCP協(xié)議封禁、UDP協(xié)議封禁和其他協(xié)議封禁，配置后相關(guān)訪問(wèn)請(qǐng)求會(huì)被直接截?cái)?。由于UDP協(xié)議的無(wú)連接性（不像TCP具有三次握手過(guò)程）具有天然的不安全性缺陷，若您沒(méi)有UDP業(yè)務(wù)，建議封禁UDP協(xié)議。

4）建議購(gòu)買高防包選擇防護(hù)次數(shù)時(shí)，選擇無(wú)限次數(shù)，避免因?yàn)榇螖?shù)限制導(dǎo)致業(yè)務(wù)受損。

本文作者：騰訊云售后李彬文