DDoS防护产品知识总结

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
传统型负载均衡 CLB,每月750个小时 15LCU
全局流量管理 GTM,标准版 1个月
简介: 本文结合个人对阿里云DDoS防护产品及文档的学习,总结了产品相关知识,方便需要使用本产品的开发者、用户参考。

DDoS防护直系家族

DDoS防护服务指阿里云提供的所有针对互联网DDoS(Distributed Denial of Service)攻击的商用方案,具体包括以下产品形态:

DDoS原生防护(基础版)/DDoS基础防护— 免费 · 默认启用

DDoS基础防护免费为阿里云公网IP资产(包括ECS、SLB、WAF、EIP等实例)提供不超过5 Gbps的DDoS攻击防御能力。
公网IP资产默认开通DDoS基础防护。用户可在流量安全控制台的资产中心页面,统一查看资产的DDoS防护能力及设置清洗阈值

使用DDoS基础防护,需要关注的内容包括:

  • 不同规格资产的默认DDoS攻击防御能力(即默认DDoS防护阈值)不同,与地域和实例规格有关。
  • 流量清洗

    • “清洗”(Mitigation)是专用术语。DDoS防护的根本途径是通过(大规模清洗集群的)流量清洗操作,摒弃入流量中的DDoS攻击流量(用清洗是个很形象的比喻,清洗掉“脏”流量),只保留正常业务流量。
    • 清洗一般是在业务流量(占用的网络峰值带宽bps、传输的四层报文数量pps)超过正常范围时才启动,用户可以自行设置清洗阈值,或使用默认的系统动态阈值(即根据日常业务流量的动态变化,自动调整清洗阈值)。
  • 黑洞

    • 如果攻击流量超过公网IP资产的DDoS防护阈值,会触发互联网服务提供商ISP(Internet Service Provider)侧的黑洞(Blackhole)保护策略,即在一段时间(该时间称为黑洞时长)内阻断IP的所有入流量(从用户角度看,表示业务在一段时间内无法访问);黑洞时长过后,黑洞自动解除。基础防护不支持手动解除黑洞,只能等待黑洞自动解除。
    • 根据资产规格及攻击动态(攻击持续性、频率),阿里云公网IP实际受影响的黑洞时长有所不同(2.5小时~1天不等),用户在业务被攻击触发黑洞而无法访问时,非常关心黑洞解除时长。

推荐阅读:对抗梦魇—当中小开发者遭遇DDoS攻击
这篇微信推文,从现实角度介绍了DDoS攻击的背景知识,适合在产品入门时阅读。

DDoS原生防护(企业版)— 全力防护 · 接入成本低

原生防护(企业版)与基础防护的原理一样,是将DDoS清洗能力集成在服务器集群(ECS、SLB等,本身承载业务)上,提升公网IP资产的DDoS防护阈值。

与DDoS基础防护最大5Gbps防护能力不同,原生防护企业版提供全力防护能力,即根据阿里云服务器集群当前可承受能力,全力帮助用户防御DDoS攻击(可防御攻击约在300 Gbps级别,不对外体现,因为不断变化)。

企业版接入成本低,使用方便。应用对象是公网IP资产,用户购买原生防护企业版实例(包年包月),将IP资产添加为防护对象即可。企业版支持手动解除黑洞,并提供相对完善的攻击分析防护配置日志监控等功能。

DDoS高防(新BGP/国际)— 按需防护 · 防护能力强 · 接入调度

高防与原生防护的原理不同。高防使用专门的流量清洗集群来缓解DDoS攻击,而原生防护是在服务器集群上,所以高防的防护成本较原生防护低、防护能力可以持续扩容,最大在Tbps级别。

但是用户必须将业务通过DNS解析等方式接入高防实例(也称高防IP,每个高防实例对应一个独享IP),高防实例在业务终端(例如,通过浏览器访问的网站业务、通过手游客户端等访问的非网站业务,一般简称客户端)和源站服务器间做反向代理,即业务终端的流量都走高防实例清洗(摒弃攻击流量、只保留正常业务流量),高防实例将清洗后的流量转发到源站服务器,使源站服务器只处理正常业务流量。相比原生防护的无感知接入,高防的接入调度方式相对低效,会稍微增加业务终端的访问延时(涉及到跨境业务时,延时可能会影响体验)。

基于以上特性,使用DDoS高防时,需关注的内容包括:

产品选型

选择实例类型:

  • DDoS高防(新BGP)/新BGP高防清洗集群采用中国内地八线BGP网络带宽资源,适合源站服务器在中国内地的场景。防护服务结构为基础防护(包年包月)+弹性防护(按量计费),选用的防护规格越大,费用越多。
  • DDoS高防(国际)/国际高防清洗集群分布在海外不同地域,采用分布式近源清洗,适合源站服务器在中国内地以外的场景。

    与原生防护企业版类似,国际高防提供帮用户尽力防护的高级防护能力,并按高级防护次数收费,具体分为保险版(每月2次高级防护,支持按次购买高级防护资源包进行扩容)、无忧版(不限制高级防护次数)两种套餐。

    因海外业务应用国际高防后,会增加中国内地终端的访问延时(游戏类业务很关注延时),国际高防还提供了以下解决方案:

    • 加速线路:只提供(中国到海外的)访问加速能力(必须配合保险版/无忧版实例使用),通过DNS智能解析,在无攻击时正常业务走加速线路,不增加延时,只在有攻击时,才切换走高防流量清洗。
    • 安全加速线路:为中国联动、电信及其他非移动线路到海外的流量(不适用走中国移动线路、海外线路访问的业务),提供DDoS防护及访问加速能力。防护规格与保险版实例一样,提供每月2次高级防护,支持按次购买高级防护资源包进行扩容。

除了以上实例选型外,实例本身有不同规格需要用户在购买实例时进行配置:

  • 功能套餐:分为标准功能、增强功能。与用户是否有较强定制防护策略需求有关,增强功能套餐比标准功能套餐支持更多可配置的功能。
  • 业务带宽:表示用户正常业务流量所需带宽大小。(业务QPS与此类似,QPS用于评估七层HTTP、HTTPS业务规模)
    高防转发正常业务流量到源站服务器,会占用固定的带宽资源,该资源根据用户业务规模不同有差异,需要用户评估业务后选择:

    • 如果选择的带宽(即实例的业务带宽规格)小于实际业务所需带宽,会导致业务访问被限速。
    • 有的用户业务有波动,不同时段所需带宽大小不同,采用固定业务带宽方式计费不合算,所以产品最新推出了弹性业务带宽功能,使用按量计费方式,对超过实例业务带宽规格的业务,收取超用的业务带宽费。
      注意:弹性业务带宽容易与新BGP高防的弹性防护带宽搞混,两者没有关系,业务带宽表示高防回源链路的带宽大小、防护带宽表示高防清洗集群的清洗能力上限。
  • 可防护域名数、端口数:即可接入到当前实例防护的网站、非网站业务的数量。如需求超过默认规格,支持付费扩容。

接入调度

  • 反向代理型服务(例如,高防、WAF、CDN等)CNAME接入的通用流程:

    1. 在高防控制台添加域名(网站业务)或端口转发规则(非网站业务),告诉高防去监听(即接收)何种业务流量(协议、端口、域名等),以及接收并清洗流量后,如何将正常业务流量转发回源站(服务器地址、负载均衡算法等)。
    2. 修改域名DNS解析(网站业务)或源站服务地址(非网站业务),将业务流量引流的高防。

    DNS解析为例,添加域名后,高防为域名分配一个CNAME地址,需要用户在域名的DNS服务商处将域名的解析指向高防CNAME地址,这样,终端用户访问域名的业务流量默认都走高防来处理。
    注意:同时使用高防与其他代理型服务时,必须将高防置于业务架构的最前端(即域名解析必须设置为高防提供的CNAME地址,高防配置中的服务器地址设置为其他代理型服务的CNAME地址),使业务流量先经过高防清洗。

  • 高防流量调度器功能:基于DNS智能解析,让用户自定义规则,只在发生攻击时触发高防流量清洗,未发生攻击时流量直接到源站服务器,减少无攻击时业务流量经高防清洗和转发回源带来的延时。也支持搭配其他产品,实现特定调度效果,具体分为以下场景:

防护设置

防护设置.png

按照生效对象不同,防护设置分为以下类型:

  • 通用防护策略:正常情况下,高防集群使用的防护策略。

    • 基础设施DDoS防护:在高防实例/IP层级,设置防护策略。

      • 黑/白名单(针对高防实例IP):黑名单表示直接丢弃指定来源IP地址(访问高防IP)的流量、白名单表示直接放行指定来源IP地址(访问高防IP)的流量。黑名单有时限,过期后自动移出;白名单永久有效。
      • 区域封禁(针对高防实例IP):与黑名单类似,IP地址本身有地域信息,区域封禁允许用户直接丢弃指定地域下IP地址(访问高防IP)的流量。例如,用户无海外业务,可以封禁所有海外地域的入流量。
      • 近源流量压制:紧急情况下才用的功能(类似急停开关,一个阿里云账号默认只有10次使用机会),发生特大流量攻击且快抵抗不住时,通过启用近源流量压制,在运营商骨干网络路由器上直接丢弃电信海外/联通海外的流量,避免触发黑洞。
      • UDP反射攻击防护:只针对UDP报文,封禁常见的被用来发动UDP反射攻击的端口的流量。提供了常见的UDP反射攻击端口,用户确认端口上无业务,可以一键封禁这些端口,让高防直接丢弃对应UDP端口流量。用户也可以自定义要封禁的UDP端口。
      • 黑洞解封:攻击流量超过高防IP的防御能力,使高防IP进入黑洞时,可以手动解除黑洞状态。每个阿里云账号每天可以使用5次。需要注意,如果防御能力小于攻击规模,且攻击未结束,即使从黑洞中解封,也会立即被重新打入黑洞。
    • 网站业务DDoS防护:在高防上配置的域名层级(即接入高防的域名),设置防护策略。
      注意:此处与Web应用防火墙(WAF)的能力类似,但是在防御Web应用攻击的性能上不及WAF。WAF主要依靠自带的能力强大的防护规则集帮用户防御各类常见Web攻击,并支持定义复杂的自定义规则,而高防这里可以设置相对简单的自定义规则。高防主要在四层(传输层)处摒弃无意义的攻击流量,四层TCP/UDP协议过滤后的正常业务流量才经过七层(应用层)协议分析处理。
      举个例子,你去便利店买东西,很多闲人故意堵在门口让你进不去,导致便利店无法为你提供服务,高防的作用是清理掉不买东西并故意堵在门口的闲人,让你可以进入便利店;有个贼和你一起进去了,WAF的作用就是发现这个贼并将贼踢出去,保证便利店为你正常提供服务。有的贼不够聪明(例如背后写着“我是贼”),这种贼高防也能顺带清理;有的贼比较机智,高防的应对手段不够,就需要WAF和ta斗智斗勇,识别并清理ta。

      • 全局防护策略:默认开启,包含预置的通用防护规则,默认应用到域名防护上。支持三种不同程度的清洗力度:默认是正常,用户可以根据需求,调整为严格、宽松。
      • AI智能防护:结合精确访问控制规则来使用,让高防自学习历史业务流量的模式,在检测到流量异常时,自动下发精确访问控制规则,实现攻击防护。有的用户可能不放心防护效果,因此功能提供了预警、防护两种模式,前者下发的规则不实际拦截请求,只记录到日志,方便用户通过日志分析,确认自动下发的规则是否有效;后者下发的规则会拦截攻击请求。除了模式,还支持不同等级的防护程度(宽松、正常、严格),程度越严格,威胁拦截率越高,但误拦截正常业务流量的可能性也会增加。
      • 黑/白名单(针对域名):与针对高防实例IP的黑/白名单类似,只是流量的目标为域名。
      • 区域封禁(针对域名):与针对高防实例IP的区域封禁类似,只是流量的目标为域名。
      • 精确访问控制:即ACL(Access Control List)策略,由用户设置请求要满足的特征(例如,请求的URL是xx、请求的Referer、User-Agent头字段包含xx等),及对满足该特征的请求执行相应处置(放行、拦截、挑战)。
      • 频率控制:针对过于频繁地访问指定页面的请求源IP(可能是HTTP Flood攻击,俗称CC攻击,攻击者刻意构造一些请求,过度消耗服务器资源),执行访问限速策略。支持四种防护模式,用户根据网站服务器的性能异常程度,直接选择防护模式,也可以自定义规则。
    • 非网站业务DDoS防护:在高防上配置的端口转发规则层级,设置防护策略。这些规则本质是定义IP包的异常特征,让高防丢弃具有这些异常特征的IP包。

      • AI智能防护:和网站业务DDoS防护下的AI智能防护类似,只是针对端口转发规则。
      • 虚假源:丢弃来自虚假IP的包、发起空连接的包。
      • 目的限速:限制对高防IP指定端口的访问频率(新建连接、并发连接),超出预设频率触发限速。
      • 包长度过滤:丢弃长度过短、多长的包。
      • 源限速:限制单个来源IP的访问频率(新建连接、并发连接、源pps、源带宽),超出预设频率触发黑名单策略(将源IP自动加入黑名单)。
  • 定制场景策略:特殊场景下,高防集群使用的防护策略(例如,业务大促等活动场景下,本身业务流量会激增,需要适当放开防护策略,避免正常业务受阻)。规则中只需设置活动期间,高防会在活动期间自动关闭AI智能防护、频率控制等模块,在活动结束后自动恢复。

安全感知与分析

用户将业务接入高防并配置防护策略后,还需随时了解业务的防护状态,并在发生攻击时及时感知和应对,在事后也需对攻击事件回溯分析。针对以上需求,高防提供了多样的安全感知与分析能力:

  • 安全总览:业务流量及攻击情况的统计报表。支持在实例层面,查看近30天的带宽(bps、pps)和连接数变化趋势、攻击峰值(带宽、包速)、网络层攻击事件、业务来源地区和运营商分布;在域名层面,查看近30天的QPS变化趋势、应用包清洗峰值(HTTP、HTTPS)、应用层清洗事件及其他请求统计信息。
  • 攻击分析:支持查看详细的攻击事件记录,按照流量型、Web资源耗尽型、连接型攻击,分别提供具有相关数据指标的报表,方便用户回溯攻击事件。最长可查询180天内的攻击事件。
  • 云监控告警:通过云监控的报警服务功能,用户可以自定义高防攻击事件、阈值告警规则,在业务发生异常时,及时得到通知。功能是云监控服务的,高防在云监控侧预定义了可监控的事件类型、业务指标等,供用户配置具体告警规则时选用。
  • 全量日志分析:实质是日志服务的云产品日志采集功能,必须单独开通后才可以使用,使高防采集所防护域名的日志数据,供用户进行查询与分析。全量日志分析具备非常强大的查询分析能力,并支持基于查询分析结果自定义告警等(云监控告警只能基于产品预置的监控指标,日志服务可以由用户通过字段组合,自定义业务指标)。

游戏盾

针对游戏类行业的网络安全解决方案,除了可防御大流量DDoS攻击(Tbps级别),还能应对游戏行业特有的基于TCP协议的CC攻击。

游戏盾只能通过SDK方式接入(产品提供Android、iOS、Windows接入包),实现在客户端应用上智能调度业务流量,即基于威胁情报等分析,为不同游戏用户IP的请求动态分配不同的服务IP,使流量拆分开,不再集中到一个点上。游戏盾采用专用的游戏安全网关,与客户端SDK建立加密通信隧道,实现流量鉴权,解决TCP协议层的CC攻击问题。

DDoS防护旁系家族

因DDoS防护是一个基础的网络安全服务,所有Web业务都可能需要,所以DDoS防护结合其他阿里云产品使用是一个普遍趋势。DDoS防护与其他阿里云产品结合使用分为以下场景:

阿里云产品提供DDoS防护升级版本(基于DDoS原生防护)· DDoS防护(增强型)EIP实例

原生防护本身是为阿里云公网IP资源提供DDoS攻击清洗能力,基础版免费提供不超过5 Gbps的防护能力,企业版付费提供全力防护能力。支持的公网IP资源包括:有公网IP的ECS实例或SLB实例、EIP实例、WAF实例。

其中,弹性公网IP服务已提供DDoS防护(增强版)实例,供用户在购买EIP实例时,直接选择高规格的DDoS防护能力。
说明:DDoS防护(增强版)EIP实例对应一个原生防护企业版实例,可在原生防护的实例管理页面查看。
DDoS防护增强版.png

阿里云产品提供支持安全防护的服务规格(基于DDoS高防) · 安全加速SCDN

安全加速SCDN服务是CDN服务的衍生产品,在加速服务基础上,提供对DDoS攻击、CC攻击的防御能力,可以理解为CDN+高防+WAF三合一服务。

目录
相关文章
|
6月前
|
网络协议 Cloud Native 网络安全
《阿里云产品四月刊》—DDoS 防护 新功能
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代
|
7月前
|
存储 Serverless 网络安全
Serverless 应用引擎产品使用之阿里云函数计算中的Web云函数可以抵抗网站对DDoS攻击如何解决
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
域名解析 人工智能 安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
132 0
|
缓存 监控 安全
01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)
01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)
109 1
01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)
|
安全 网络协议 网络安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(一)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(一)
144 1
|
网络安全
《阿里云产品手册2022-2023 版》——DDoS 防护
《阿里云产品手册2022-2023 版》——DDoS 防护
123 0
|
云安全 安全 网络协议
为什么使用了高防产品之后,源站IP仍然泄漏了,攻击者针对源站发起DDOS攻击,导致业务不可用?
为什么使用了高防产品之后,源站IP仍然泄漏了,攻击者针对源站发起DDOS攻击,导致业务不可用?
288 0
|
网络安全
阿里自研高性能DDoS攻击防护产品介绍二
继上文介绍了背景以及自研高性能防攻击产品的发展历程的前三段,我们今天把发展历程的最后一段以及未来面临的挑战继续分享给大家。
1275 0