DDoS防护直系家族
DDoS防护服务指阿里云提供的所有针对互联网DDoS(Distributed Denial of Service)攻击的商用方案,具体包括以下产品形态:
DDoS原生防护(基础版)/DDoS基础防护— 免费 · 默认启用
DDoS基础防护免费为阿里云公网IP资产(包括ECS、SLB、WAF、EIP等实例)提供不超过5 Gbps的DDoS攻击防御能力。
公网IP资产默认开通DDoS基础防护。用户可在流量安全控制台的资产中心页面,统一查看资产的DDoS防护能力及设置清洗阈值。
使用DDoS基础防护,需要关注的内容包括:
- 不同规格资产的默认DDoS攻击防御能力(即默认DDoS防护阈值)不同,与地域和实例规格有关。
流量清洗
- “清洗”(Mitigation)是专用术语。DDoS防护的根本途径是通过(大规模清洗集群的)流量清洗操作,摒弃入流量中的DDoS攻击流量(用清洗是个很形象的比喻,清洗掉“脏”流量),只保留正常业务流量。
- 清洗一般是在业务流量(占用的网络峰值带宽bps、传输的四层报文数量pps)超过正常范围时才启动,用户可以自行设置清洗阈值,或使用默认的系统动态阈值(即根据日常业务流量的动态变化,自动调整清洗阈值)。
黑洞
- 如果攻击流量超过公网IP资产的DDoS防护阈值,会触发互联网服务提供商ISP(Internet Service Provider)侧的黑洞(Blackhole)保护策略,即在一段时间(该时间称为黑洞时长)内阻断IP的所有入流量(从用户角度看,表示业务在一段时间内无法访问);黑洞时长过后,黑洞自动解除。基础防护不支持手动解除黑洞,只能等待黑洞自动解除。
- 根据资产规格及攻击动态(攻击持续性、频率),阿里云公网IP实际受影响的黑洞时长有所不同(2.5小时~1天不等),用户在业务被攻击触发黑洞而无法访问时,非常关心黑洞解除时长。
推荐阅读:对抗梦魇—当中小开发者遭遇DDoS攻击。
这篇微信推文,从现实角度介绍了DDoS攻击的背景知识,适合在产品入门时阅读。
DDoS原生防护(企业版)— 全力防护 · 接入成本低
原生防护(企业版)与基础防护的原理一样,是将DDoS清洗能力集成在服务器集群(ECS、SLB等,本身承载业务)上,提升公网IP资产的DDoS防护阈值。
与DDoS基础防护最大5Gbps防护能力不同,原生防护企业版提供全力防护能力,即根据阿里云服务器集群当前可承受能力,全力帮助用户防御DDoS攻击(可防御攻击约在300 Gbps级别,不对外体现,因为不断变化)。
企业版接入成本低,使用方便。应用对象是公网IP资产,用户购买原生防护企业版实例(包年包月),将IP资产添加为防护对象即可。企业版支持手动解除黑洞,并提供相对完善的攻击分析、防护配置、日志监控等功能。
DDoS高防(新BGP/国际)— 按需防护 · 防护能力强 · 接入调度
高防与原生防护的原理不同。高防使用专门的流量清洗集群来缓解DDoS攻击,而原生防护是在服务器集群上,所以高防的防护成本较原生防护低、防护能力可以持续扩容,最大在Tbps级别。
但是用户必须将业务通过DNS解析等方式接入高防实例(也称高防IP,每个高防实例对应一个独享IP),高防实例在业务终端(例如,通过浏览器访问的网站业务、通过手游客户端等访问的非网站业务,一般简称客户端)和源站服务器间做反向代理,即业务终端的流量都走高防实例清洗(摒弃攻击流量、只保留正常业务流量),高防实例将清洗后的流量转发到源站服务器,使源站服务器只处理正常业务流量。相比原生防护的无感知接入,高防的接入调度方式相对低效,会稍微增加业务终端的访问延时(涉及到跨境业务时,延时可能会影响体验)。
基于以上特性,使用DDoS高防时,需关注的内容包括:
产品选型
选择实例类型:
- DDoS高防(新BGP)/新BGP高防清洗集群采用中国内地八线BGP网络带宽资源,适合源站服务器在中国内地的场景。防护服务结构为基础防护(包年包月)+弹性防护(按量计费),选用的防护规格越大,费用越多。
DDoS高防(国际)/国际高防清洗集群分布在海外不同地域,采用分布式近源清洗,适合源站服务器在中国内地以外的场景。
与原生防护企业版类似,国际高防提供帮用户尽力防护的高级防护能力,并按高级防护次数收费,具体分为保险版(每月2次高级防护,支持按次购买高级防护资源包进行扩容)、无忧版(不限制高级防护次数)两种套餐。
因海外业务应用国际高防后,会增加中国内地终端的访问延时(游戏类业务很关注延时),国际高防还提供了以下解决方案:
- 加速线路:只提供(中国到海外的)访问加速能力(必须配合保险版/无忧版实例使用),通过DNS智能解析,在无攻击时正常业务走加速线路,不增加延时,只在有攻击时,才切换走高防流量清洗。
- 安全加速线路:为中国联动、电信及其他非移动线路到海外的流量(不适用走中国移动线路、海外线路访问的业务),提供DDoS防护及访问加速能力。防护规格与保险版实例一样,提供每月2次高级防护,支持按次购买高级防护资源包进行扩容。
除了以上实例选型外,实例本身有不同规格需要用户在购买实例时进行配置:
- 功能套餐:分为标准功能、增强功能。与用户是否有较强定制防护策略需求有关,增强功能套餐比标准功能套餐支持更多可配置的功能。
业务带宽:表示用户正常业务流量所需带宽大小。(业务QPS与此类似,QPS用于评估七层HTTP、HTTPS业务规模)
高防转发正常业务流量到源站服务器,会占用固定的带宽资源,该资源根据用户业务规模不同有差异,需要用户评估业务后选择:- 可防护域名数、端口数:即可接入到当前实例防护的网站、非网站业务的数量。如需求超过默认规格,支持付费扩容。
接入调度
反向代理型服务(例如,高防、WAF、CDN等)CNAME接入的通用流程:
- 在高防控制台添加域名(网站业务)或端口转发规则(非网站业务),告诉高防去监听(即接收)何种业务流量(协议、端口、域名等),以及接收并清洗流量后,如何将正常业务流量转发回源站(服务器地址、负载均衡算法等)。
- 修改域名DNS解析(网站业务)或源站服务地址(非网站业务),将业务流量引流的高防。
DNS解析为例,添加域名后,高防为域名分配一个CNAME地址,需要用户在域名的DNS服务商处将域名的解析指向高防CNAME地址,这样,终端用户访问域名的业务流量默认都走高防来处理。
注意:同时使用高防与其他代理型服务时,必须将高防置于业务架构的最前端(即域名解析必须设置为高防提供的CNAME地址,高防配置中的服务器地址设置为其他代理型服务的CNAME地址),使业务流量先经过高防清洗。高防流量调度器功能:基于DNS智能解析,让用户自定义规则,只在发生攻击时触发高防流量清洗,未发生攻击时流量直接到源站服务器,减少无攻击时业务流量经高防清洗和转发回源带来的延时。也支持搭配其他产品,实现特定调度效果,具体分为以下场景:
- 云产品联动:源站服务器为ECS、SLB公网IP
- CDN/DCDN联动:域名开启了CDN/DCDN加速
- 阶梯防护:高防搭配原生防护
- 出海加速:国际高防实例搭配加速线路
- 安全加速:国际高防实例搭配安全加速线路
防护设置
按照生效对象不同,防护设置分为以下类型:
通用防护策略:正常情况下,高防集群使用的防护策略。
基础设施DDoS防护:在高防实例/IP层级,设置防护策略。
- 黑/白名单(针对高防实例IP):黑名单表示直接丢弃指定来源IP地址(访问高防IP)的流量、白名单表示直接放行指定来源IP地址(访问高防IP)的流量。黑名单有时限,过期后自动移出;白名单永久有效。
- 区域封禁(针对高防实例IP):与黑名单类似,IP地址本身有地域信息,区域封禁允许用户直接丢弃指定地域下IP地址(访问高防IP)的流量。例如,用户无海外业务,可以封禁所有海外地域的入流量。
- 近源流量压制:紧急情况下才用的功能(类似急停开关,一个阿里云账号默认只有10次使用机会),发生特大流量攻击且快抵抗不住时,通过启用近源流量压制,在运营商骨干网络路由器上直接丢弃电信海外/联通海外的流量,避免触发黑洞。
- UDP反射攻击防护:只针对UDP报文,封禁常见的被用来发动UDP反射攻击的端口的流量。提供了常见的UDP反射攻击端口,用户确认端口上无业务,可以一键封禁这些端口,让高防直接丢弃对应UDP端口流量。用户也可以自定义要封禁的UDP端口。
- 黑洞解封:攻击流量超过高防IP的防御能力,使高防IP进入黑洞时,可以手动解除黑洞状态。每个阿里云账号每天可以使用5次。需要注意,如果防御能力小于攻击规模,且攻击未结束,即使从黑洞中解封,也会立即被重新打入黑洞。
网站业务DDoS防护:在高防上配置的域名层级(即接入高防的域名),设置防护策略。
注意:此处与Web应用防火墙(WAF)的能力类似,但是在防御Web应用攻击的性能上不及WAF。WAF主要依靠自带的能力强大的防护规则集帮用户防御各类常见Web攻击,并支持定义复杂的自定义规则,而高防这里可以设置相对简单的自定义规则。高防主要在四层(传输层)处摒弃无意义的攻击流量,四层TCP/UDP协议过滤后的正常业务流量才经过七层(应用层)协议分析处理。
举个例子,你去便利店买东西,很多闲人故意堵在门口让你进不去,导致便利店无法为你提供服务,高防的作用是清理掉不买东西并故意堵在门口的闲人,让你可以进入便利店;有个贼和你一起进去了,WAF的作用就是发现这个贼并将贼踢出去,保证便利店为你正常提供服务。有的贼不够聪明(例如背后写着“我是贼”),这种贼高防也能顺带清理;有的贼比较机智,高防的应对手段不够,就需要WAF和ta斗智斗勇,识别并清理ta。- 全局防护策略:默认开启,包含预置的通用防护规则,默认应用到域名防护上。支持三种不同程度的清洗力度:默认是正常,用户可以根据需求,调整为严格、宽松。
- AI智能防护:结合精确访问控制规则来使用,让高防自学习历史业务流量的模式,在检测到流量异常时,自动下发精确访问控制规则,实现攻击防护。有的用户可能不放心防护效果,因此功能提供了预警、防护两种模式,前者下发的规则不实际拦截请求,只记录到日志,方便用户通过日志分析,确认自动下发的规则是否有效;后者下发的规则会拦截攻击请求。除了模式,还支持不同等级的防护程度(宽松、正常、严格),程度越严格,威胁拦截率越高,但误拦截正常业务流量的可能性也会增加。
- 黑/白名单(针对域名):与针对高防实例IP的黑/白名单类似,只是流量的目标为域名。
- 区域封禁(针对域名):与针对高防实例IP的区域封禁类似,只是流量的目标为域名。
- 精确访问控制:即ACL(Access Control List)策略,由用户设置请求要满足的特征(例如,请求的URL是xx、请求的Referer、User-Agent头字段包含xx等),及对满足该特征的请求执行相应处置(放行、拦截、挑战)。
- 频率控制:针对过于频繁地访问指定页面的请求源IP(可能是HTTP Flood攻击,俗称CC攻击,攻击者刻意构造一些请求,过度消耗服务器资源),执行访问限速策略。支持四种防护模式,用户根据网站服务器的性能异常程度,直接选择防护模式,也可以自定义规则。
非网站业务DDoS防护:在高防上配置的端口转发规则层级,设置防护策略。这些规则本质是定义IP包的异常特征,让高防丢弃具有这些异常特征的IP包。
- 定制场景策略:特殊场景下,高防集群使用的防护策略(例如,业务大促等活动场景下,本身业务流量会激增,需要适当放开防护策略,避免正常业务受阻)。规则中只需设置活动期间,高防会在活动期间自动关闭AI智能防护、频率控制等模块,在活动结束后自动恢复。
安全感知与分析
用户将业务接入高防并配置防护策略后,还需随时了解业务的防护状态,并在发生攻击时及时感知和应对,在事后也需对攻击事件回溯分析。针对以上需求,高防提供了多样的安全感知与分析能力:
- 安全总览:业务流量及攻击情况的统计报表。支持在实例层面,查看近30天的带宽(bps、pps)和连接数变化趋势、攻击峰值(带宽、包速)、网络层攻击事件、业务来源地区和运营商分布;在域名层面,查看近30天的QPS变化趋势、应用包清洗峰值(HTTP、HTTPS)、应用层清洗事件及其他请求统计信息。
- 攻击分析:支持查看详细的攻击事件记录,按照流量型、Web资源耗尽型、连接型攻击,分别提供具有相关数据指标的报表,方便用户回溯攻击事件。最长可查询180天内的攻击事件。
- 云监控告警:通过云监控的报警服务功能,用户可以自定义高防攻击事件、阈值告警规则,在业务发生异常时,及时得到通知。功能是云监控服务的,高防在云监控侧预定义了可监控的事件类型、业务指标等,供用户配置具体告警规则时选用。
- 全量日志分析:实质是日志服务的云产品日志采集功能,必须单独开通后才可以使用,使高防采集所防护域名的日志数据,供用户进行查询与分析。全量日志分析具备非常强大的查询分析能力,并支持基于查询分析结果自定义告警等(云监控告警只能基于产品预置的监控指标,日志服务可以由用户通过字段组合,自定义业务指标)。
游戏盾
针对游戏类行业的网络安全解决方案,除了可防御大流量DDoS攻击(Tbps级别),还能应对游戏行业特有的基于TCP协议的CC攻击。
游戏盾只能通过SDK方式接入(产品提供Android、iOS、Windows接入包),实现在客户端应用上智能调度业务流量,即基于威胁情报等分析,为不同游戏用户IP的请求动态分配不同的服务IP,使流量拆分开,不再集中到一个点上。游戏盾采用专用的游戏安全网关,与客户端SDK建立加密通信隧道,实现流量鉴权,解决TCP协议层的CC攻击问题。
DDoS防护旁系家族
因DDoS防护是一个基础的网络安全服务,所有Web业务都可能需要,所以DDoS防护结合其他阿里云产品使用是一个普遍趋势。DDoS防护与其他阿里云产品结合使用分为以下场景:
阿里云产品提供DDoS防护升级版本(基于DDoS原生防护)· DDoS防护(增强型)EIP实例
原生防护本身是为阿里云公网IP资源提供DDoS攻击清洗能力,基础版免费提供不超过5 Gbps的防护能力,企业版付费提供全力防护能力。支持的公网IP资源包括:有公网IP的ECS实例或SLB实例、EIP实例、WAF实例。
其中,弹性公网IP服务已提供DDoS防护(增强版)实例,供用户在购买EIP实例时,直接选择高规格的DDoS防护能力。
说明:DDoS防护(增强版)EIP实例对应一个原生防护企业版实例,可在原生防护的实例管理页面查看。
阿里云产品提供支持安全防护的服务规格(基于DDoS高防) · 安全加速SCDN
安全加速SCDN服务是CDN服务的衍生产品,在加速服务基础上,提供对DDoS攻击、CC攻击的防御能力,可以理解为CDN+高防+WAF三合一服务。
