实验概述
近来,某些黑客对非网站业务(如端游、手游、APP等)进行DDoS攻击(如:SYN Flood),导致服务器频繁瘫痪,业务无法正常运作,造成巨大损失。因此,越来越多的企业开始关注防御DDoS攻击,规避黑客攻击带来的风险。
本实验主要针对非网站业务类型的企业,指导它们接入高防IP,降低网络风险,减少企业损失。
实验目标
完成此实验后,可以掌握的能力有:
- 将用户的非网站业务接入到DDoS高防IP服务。
- 配置DNS解析,CNAME解析等。
- 测试、验证DDoS高防配置
学前建议
了解阿里云管理控制台的基本使用方法。
第 1 章:实验背景
1.1 背景知识
英雄联盟、DOTA、阴阳师、王者荣耀、饿了么、美团。。。。。这些端游、手游和APP这几年可以说是红的发紫,和人们的日常生活联系也越来越紧密。这就为网络安全带来了极大的挑战。我们可以把这些业务统称为 非网站业务 。
阿里云推出的DDos高防IP服务就包含了刚才描述的非网站业务,可以有效减少遭受大流量的DDoS攻击后导致服务不可用的情况。用户可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
DDos攻击及其危害
分布式拒绝服务攻击(Distributed Denial of Service,简称 DDoS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
TCP/UDP协议
TCP(Transmission Control Protocol,简称 TCP) 和 UDP(User Datagram Protocol,简称 UDP)协议属于传输层协议。其中 TCP 提供 IP 环境下的数据可靠传输,它提供的服务包括数据流传送、可靠性、有效流控、全双工操作和多路复用。通过面向连接、端到端和可靠的数据包发送。通俗说,它是事先为所发送的数据开辟出连接好的通道,然后再进行数据发送;而 UDP 则不为 IP 提供可靠性、流控或差错恢复功能。一般来说,TCP对应的是可靠性要求高的应用,而UDP对应的则是可靠性要求低、传输经济的应用。TCP支持的应用协议主要有:Telnet、FTP、SMTP等;UDP支持的应用层协议主要有:NFS(网络文件系统)、SNMP(简单网络管理协议)、DNS(主域名称系统)、TFTP(通用文件传输协议)等。
DNS解析
域名解析(Domain Name System,简称 DNS)人们习惯记忆域名,但机器间互相只认IP地址,域名与IP地址之间是多对一的关系,一个 IP地址不一定只对应一个域名,且一个域名也可以对应多个 IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,整个过程是自动进行的。
第 2 章:实验详情
2.1 实验资源
在弹出的左侧栏中,点击 创建资源 按钮,开始创建实验资源。
资源创建过程需要1-3分钟。完成实验资源的创建后,用户可以通过 实验资源 查看实验中所需的资源信息,例如:阿里云账号等。
2.2 接入DDos高防IP服务
本小节主要介绍:为非网站业务接入DDoS高防IP服务。
- 点击左侧导航栏处的 实验资源 ,下拉框中,点击 前往控制台 ,
RAM登录控制台输入 子用户名称 和 子用户密码 ,完成后点击 登录 。
2. 顶部导航栏,点击 产品与服务 ,下拉菜单中依次选择 安全(云盾)—> DDoS高防 ,进入DDoS防护管理控制台。
出现下图提示,直接确定跳过,选择左侧栏,旧版。
3.点击左侧 实例列表 ,将会看到已经启用的DDoS高防IP实例 。
4. 左侧点击 非网站 ,进入非网站业务配置。然后选择 实例 和 高防IP ,点击页面下方的 添加单条规则
5. 配置中输入如下信息,然后点击 确定 ,(本实验我们的非网站业务对应的是TCP端口 3306,在后面测试需要测试3306端口的访问情况)。
说明:转发协议目前支持TCP和UDP ,转发端口表示需要通过高防IP的哪个端口来访问,一般情况选择跟源站相同端口
转发协议:TCP
转发端口:3306
源站端口:3306
源站IP:实验资源 提供的 ECS1-Server 的 弹性IP
注意:如果一个端口对应多个源站IP,可以都填写到源站IP中,以英文逗号隔开,最多支持20个IP,多个源站之间会以轮询方式实现负载均衡;非网站转发端口不支持80端口和UDP的53端口,网站类业务 需要直接在网站业务接入中进行配置。
6. 此时,DDoS高防IP服务接入完成
7.
8. 本小节接入高防IP服务介绍完毕,下面验证接入是否成功。
2.3 验证服务是否接入DDoS高防IP
非网站业务按照域名的使用分为两类:直接用IP访问(不需要域名)的四层业务 和 需要用域名访问的四层业务。本小节的主要内容:分别通过IP和域名两种应用方式来验证非网站业务接入DDoS高防IP服务是否成功。
直接IP访问业务的DDoS高防IP接入的验证:
1.在DDoS高防管理控制台的实例列表中,找到并复制DDoS高防IP的IP地址,后续会在ECS实例中访问该IP地址。
2. 使用 实验资源 提供的 ECS2-Client 云服务器的 用户名 和 密码 ,远程登录 ECS2-client 云服务器。
说明:远程登录云服务器ECS,请参考 帮助文档
3. 使用如下命令访问高防IP的3306端口(高防IP为步骤1中复制的IP地址),telnet 命令能连通则说明转发成功,发送给DDoS高防IP的请求已经转发给后端的实例ECS1-client;否则即失败,请检查前面的配置是否正确。
说明:xxxx 表示 高防IP 。
注意:服务器ECS1-client中mysql数据库开机自动启动,可以直接通过3306端口去访问。
telnet xxxx 3306
需要域名业务的DDoS高防IP接入的验证:
4. 在DDoS高防管理控制台中,左侧点击 网站,查看网站服务中是否已经对域名进行了配置。如果域名已经被配置过,需要先把域名配置删除掉。
5.通过网站接入获取cname值。添加网站,将实验资源中的域名填写在防护网站中,协议类型:http,源站IP填入ECS1的弹性IP,然后点击下一步,选择实例与线路后点击下一步,确定后完成网站添加,即可获取cname值。
6.查看网站添加完成,并且具有cname值。(注意:实验中实际业务对应的是3306端口,添加完成的端口信息为80,不是实际非网站业务对应端口,该添加网站步骤仅为获取cname值)
6.复制cname值,点击左侧的 实验目录 ,然后选择 2.1实验资源 小节 。
在如下图中输入如下信息,完成后点击 解析 。将生成的 CNAME 进行 CNAME解析。
主机记录:www
记录值:之前复制的 CNAME 值
7. 使用域名进行交互的应用场景验证DDoS高防IP是否接入成功。输入如下命令,xxxx 表示 实验资源 提供的 域名 ,如果能够 ping 通证明连接成功。
ping xxxx
- 在执行如下命令, xxxx 表示 实验资源 提供的 域名 , pppp 表示管理控制台非网站页面输入的 源站端口 。telnet 命令能连通,则说明配置已经生效。
telnet xxxx pppp
- 至此,用IP和域名两种应用方式验证非网站业务接入DDos高防IP服务接入成功。
