安全防護:Anti-DDoS 設定教學
前面我們持續帶入新的服務利用架構的方式解決網站負載問題,在資安方面使用了應用防火牆 (WAF) 能有效的防阻 Http Flood 等第七層的攻擊行為,但 WAF 只針對應用層的行為做分析及精確的訪問規則,對於網路層、傳輸層的攻擊並無法保護,由其在傳輸層的攻擊往往會造成龐大的流量導致網路壅塞瓶頸,而在面臨 TCP、UDP 等傳輸層的攻擊,在阿里雲上提供了全球 Anycast 的 Anti-DDoS 可以有效緩解攻擊所造成的全面影響。
分散式阻斷服務攻擊 (Distributed Denial of Service,DDoS)
是目前一種最常見的網路攻擊,因其攻擊的技術難度不高,甚至坊間都有很多攻擊程式可以找的到,並且攻擊目標大多為網路服務目的是開放給大眾的金融、遊戲娛樂、電商平台、影音直播等產業,因此無法透過一些網路防火牆的限制方式完全拒絕攻擊,因此能直接的造成提供的服務不可用的重大商業損失。
幾種常見DDoS目的:
- 消耗網路頻寬資源:大量佔用目標物伺服器頻寬造成網路堵塞
ICMP Flood、UDP Flood、SSDP Attack、NTP Amplification Attacks、DNS Amplification Attacks、Memcached Amplification Attacks
- 消耗伺服器資源:透過TCP三項交握協議特性,達到目標伺服器CPU及RAM過載
SYN Flood、SYN ACK Flood、ACK Flood、ICMP Flood、Sockstress Attack
- 消耗應用服務資源:透過大量session及特殊封包模式等,增加回應時間造成應用的功能瓶頸
HTTP Flood(CC)、DNS Flood、SSL Flood、Slowloris Attack
圖:常見的 DDoS 攻擊類型
Anti-DDoS 高防 (Anti-DDoS Premium)
高防會透過代理的方式設置,並將來至 Internet 上的訪問流量導入至高防清洗中心(Cleaning Center),封包將自動比對惡意攻擊特徵資料庫,並進行過濾讓正常的訪問流量轉發回後端伺服器,以此方式讓服務不受影響中斷。以下介紹筆者認為 Anti-DDoS 高防的關鍵功能:
- Anycast:DDoS 高防在全球有數個基於 Anycast IP 網路架構基礎上的 Cleaning Center,透過分散式的方式,讓分散式阻斷攻擊的來源無法匯集在一起,達到單一清洗中心部會因為遭受大量網路攻擊而網路癱瘓。
- 流量調度器:流量調度器是高防的一項附加服務,透過DNS搭配攻擊特徵比對,讓高防服務能在CDN與其它優化連線的雲服務之間做智能判斷切換。
Anti-DDoS 實務操作
接著我們要在WAF前在加上一層高防服務保護3-7層上的網路安全,並且透過高防服務附加的DNS調度服務讓我們的服務在未受大量DDoS攻擊前使用CDN讓訪問者能有最好的訪問體驗。
操作概念示意圖
(1) 在產品列表 Security 分類上,找到 DDoS 高防(Anti-DDos)
(2) 在高防選擇上主要分為三類,簡單區分:
- DDoS 高防(國際) 面向全球用戶
- DDoS (新BGP) 主要中國用戶
- DDoS 原生防護主要保護在同一地區阿里雲上服務
防護方案分為:
- 保險版一個月提供2次24小時的攻擊防護,對於有活動推廣時可以在有限預算上預防攻擊造成的推廣損失
- 無憂版為沒有上限的防護,相對的成本是高的
- 加速線路主要是提供中國用戶訪問到全球透過這項附加服務可以有優異的訪問品質(該服務本身沒有DDoS防護,並須搭配其它兩個版本才能達到防護能力)
功能選擇:
- 預設為標準功能,如果有 websocket(s) 等長連接協議、CDN 調度、加速線路調度等功能需要選擇增強功能
(3) 建立好高防實例後,可以在實例管理裡看到配置好的高防 Anycast 實例 IP
(4) 接著可以選擇代理方式,分為:
- 域名接入是透過第七層的方式代理,這裡我們將WAF的cname位址加入後端伺服器地址
- 端口接入是透過第四層的方式代理,如果服務是TCP、UDP及80、443、8080以外的port需要選擇端口接入
(5) 看起來很簡單就能完成配置,接著只要將高防的cname解析到網站域名就完成高防接入了
註:實際在這次實驗先不解析到網站,我們需要透過調度器讓CDN和高防之間互相切換
(6) 在流量調度器裡可以看到幾種調度方式介紹,這邊選擇CDN聯動調度點選添加聯動
(7) 阿里雲會自動判斷逾名是否在阿里雲CDN上勾選需要關聯的高防實例,並設定QPS閥值完成關聯設定
(8) 設定完在調度器會產生一組 cname domain,裡面包含著 CDN、高防實例的domain 位址,透過智能調度器判斷近來的流量是否存在攻擊行為並切換服務
(9) 最後將調度器cname解析上網站 domain name
(10) 透過本機端 nslookup 解析網站 domain 驗證可以得知,在未受到攻擊時解析得到調度器 cname 位址以及阿里雲 CDN 的 cname 位址與節點 IP
(11) 為了驗證切換功能,透過一些方法壓力測試自己的服務(噓..),發現在壓力測試一陣子後調度器判斷為攻擊行為因此解析後得到了高防實例的 Anycast IP,從網站開發者模式驗證確實切換到高防 IP
(12) 在阿里雲平台上攻擊分析可以看到目前所發生的事件,阿里雲這裡判別為 http flood 攻擊,以切換到高防線路進行惡意流量過濾清洗
(13)在 DDoS 高防的安全總覽也可以看到即時及歷史的攻擊流量狀況,包含第四層及第七層的攻擊
(14) 在攻擊結束後預設調度器會自動判斷並將流量切換回 CDN,也可以手動在平台上做操作切換
透過 DDoS 高防我們可以有效降低網路攻擊造成的損失,在未來網路攻擊將會隨著科技高速發展日益嚴重,手機設備隨著 5G 高速網路逐漸普及,勢必會造就新型態 DDoS 阻斷攻擊,資訊安全未來將會是需要不斷演進且持續性的攻防戰。
來源網址:https://www.alibabacloud.com/blog/599165