GMTC北京站两周后开幕,58个议题全部上线,点击查看 了解详情
写点什么

攻击流量超过 300G,遭遇 DDoS 时我们能做些什么?

2020 年 10 月 23 日

攻击流量超过300G,遭遇DDoS时我们能做些什么?

一、 DDOS 攻击原理

Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过远程连接恶意程序控制大量僵尸主机(全国范围甚至全球范围的主机)向一个或多个目标发送大量攻击请求,消耗目标服务器性能或网络带宽,导致其无法响应正常的服务请求。



常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。


DDoS 攻击会对您的业务造成以下危害:


  • 当 DDoS 攻击打满企业的业务带宽时就会导致用户无法正常访问您的业务,最终造成巨大经济损失。

  • 由于某些行业的恶性竞争,竞争对手可能会通过 DDoS 攻击手段来打击您的业务,最终导致您的业务在竞争中失败。


二、 DDos 攻击案例解析

背景:企业 A 的 test 业务一个月内遭遇多次 DDoS 攻击,攻击流量从最初的不到 10 Gbps 到最后攻击流量高达 300 多 G 。


业务域名:test.com


域名解析的 IP:主 CLB 1.1.1.1 (公网带宽 1 Gbps)、备份 CLB 1.1.1.2


第一波 DDoS 攻击属于试探性的,采用的是 SYN Flood 攻击,攻击流量 8 Gbps。假设攻击目标 IP:1.1.1.1 ,当时业务架构图如下图所示:



由于攻击流量没有超过赠送的防护流量 10 G,所以本次攻击对 test 业务没有任何影响,同时也没有引起企业 A 的重视。


第二波 DDos 攻击的流量已经增加到 40 Gbps,由于本次攻击远远超过赠送的 10 G 防护值(也超过 CLB 的公网带宽 1 Gbps),导致主 IP:1.1.1.1 被封禁后业务 test 无法访问。



虽然主 CLB 因为 DDoS 攻击无法提供服务,但是可以通过 DNSpod 快速切换到备份 VIP:2.2.2.2 实现在 10 分钟内恢复了 90% 的用户访问(前提是准备了备份 VIP 可以切换)。


针对上述场景有两种解决方案:


  • 将重要的业务 VIP 加入到高防包,那么后续攻击会通过高防包来清洗攻击流量;

  • 将重要的业务 VIP 绑定到高防 IP,那么后续攻击会先经过高防 IP 清洗后回源到实际业务 VIP


最终公司 A 选择了最大防护能力为 300 G 的高防 IP,来规避类似 DDoS 攻击。


第三波 DDos 攻击的流量增加到 160 Gbps,由于购买了高防 IP 防护能力高达 300G,所以本次攻击对业务没有影响。



虽然本次攻击防护成功,但是还需要考虑极端情况,如果攻击流量超过 300G,那么还是有影响业务访问的风险。为了防护超 300G 攻击流量,建议购买三网防护 IP,理论上可以提供 1 Tbps 防护能力。


第四波 DDoS 攻击的流量超 300 Gbps,导致高防 IP:3.3.3.3 被封禁,但是兜底方案通过 cname 自动切换解析指向三网 IP(分别是电信、联通、移动的公网 IP)最终恢复业务访问。



当高防 IP 被封禁后会立即通过 cname 切换解析到三网 IP,整个解析切换过程是秒级的,也就是虽然高防 IP 被封禁但是恢复时间可以做到秒级。


通过该案例可以看出,攻击从一开始的试探性,到逐步加大攻击流量,业务影响时长从分钟级到秒级。但只要防护到位还是可以减少业务受损时长,甚至可以完全规避业务受损。


但是安全防护能力是需要付出成本的,也有很多企业因为成本原因选择更适合自身的防护方案。


三、 DDoS 防护方案对比

1. DDoS 基础防护方案(免费)


防护对象:适用于腾讯云产品(如 EIP、CLB 等)。


防护能力:普通用户可享受 2 Gbps 防护,VIP 用户 可享受 10 Gbps 防护。


配置方法:无需配置,自动为云内产品 IP 开启防护。


2. DDoS 高防包方案


防护对象:适用于腾讯云产品,包括 CVM、CLB、WAF、黑石物理服务器、黑石负载均衡、NAT IP、EIP、GAAP IP 等,同时也适用于有大量云产品 IP 需要防护的用户。


防护能力:在用户购买的防护次数范围内(建议不限次数,避免次数限制导致影响业务),腾讯云提供不低于 30 Gbps 的 DDoS 防护能力, 最高防护能力根据各个区域的实际网络情况动态调整。


3. DDoS 高防 IP 方案


防护对象:支持 TCP,UDP,HTTP 和 HTTPS 业务(默认支持 websocket)。


防护能力:BGP 线路最高提供 300 Gbps 的防护能力,三网线路最高可提供 1 Tbps 的防护能力。


从三种方案对比可以发现:防护能力最高的就是高防 IP,但具体采用高防包方案还是高防 IP 方案要根据历史攻击数据以及预算来决定。


如果您的防护对象既有腾讯云内的公网 IP 也有 IDC 的公网 IP,同时要求防护能力比较够可以优先选择高防 IP。如果对防护能力低于 100 G,同时希望保留原有业务 IP 可以优先考虑高防包。


四、 其他注意事项

第一,使用 DDoS 高防包的用户每天将拥有三次自助解封机会,在您需要紧急恢复业务情况下,通过控制台防护概览界面进行自助解封。(系统将在每天零点时重置自助解封次数,当天未使用的解封次数不会累计到次日。)


第二,DDoS 高防包仅对腾讯云内的公网 IP 提供 DDoS 防护支持。如需云外的公网 IP 防护,请您购买 DDoS 高防 IP,支持网站域名和业务端口的接入防护。


第三,DDoS 高防支持对访问 DDoS 高防的源流量按照协议类型一键封禁。您可配置 ICMP 协议封禁、TCP 协议封禁、UDP 协议封禁和其他协议封禁,配置后相关访问请求会被直接截断。由于 UDP 协议的无连接性(不像 TCP 具有三次握手过程)具有天然的不安全性缺陷,若您没有 UDP 业务,建议封禁 UDP 协议。


最后,建议购买高防包选择防护次数时,选择无限次数,避免因为次数限制导致业务受损。


参考资料


[1] 腾讯云防护介绍:


https://cloud.tencent.com/document/product/1021/44463


[2] DDoS 高防包方案配置方法:


https://cloud.tencent.com/document/product/1021/43898


[3] DDoS 高防 IP 方案配置方法:


https://cloud.tencent.com/document/product/1014/44088


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接


攻击流量超过300G,遭遇DDoS时我们能做些什么?


2020 年 10 月 23 日 10:001433

评论 4 条评论

发布
用户头像
我还以为有什么高招详解,原来就是推销高仿包的
2020 年 10 月 28 日 09:43
回复
用户头像
广告,没什么意义的文章也推荐。。。。
2020 年 10 月 26 日 12:16
回复
用户头像
广告贴
2020 年 10 月 23 日 18:13
回复
用户头像
推销高防产品太明显了吧
2020 年 10 月 23 日 17:54
回复
没有更多了
发现更多内容

由丰巢快递柜引发的思考

Neco.W

创业 思考 丰巢

MySQL数据类型DECIMAL用法

Simon

MySQL

CDN百科 | 最近,你的APP崩了吗?

阿里云Edge Plus

CDN

并发编程如何才能不再头疼:iOS中的协程

超越杨超越

ios 协程 coobjc ucontext

我站在愚蠢之巅

escray

学习 CSD 认证实战营

KubeFATE:在Kubernetes上部署联邦学习平台

亨利笔记

人工智能 学习 FATE KUBEFATE

TOTO 2020再次荣获iF、红点两项国际设计大奖

极客编

想退休,可能没机会了

池建强

读书感悟

《Linux就该这么学》笔记(二)

编程随想曲

Linux

概念有时候很坑

伯薇

抽象 思考力 沟通 概念

如何推动与影响中型前端团队的成长

堂主

前端 研发管理 团队建设

谈谈控制感(2):怎么让我们更健康

史方远

个人成长 心理

DD 测试linux性能

HU

CDN百科 | 假如没有CDN,网络世界会变成什么样?

阿里云Edge Plus

奔向 10W+ 的第一次 update

赵新龙

InfoQ B站 Quora

游戏夜读 | 如何优化缓冲加载?

game1night

抄作业

escray

学习 CSD 认证实战营

视达荣登ChinaBang Awards 2020智慧零售榜Top10

极客编

Rust安装注意事项

邱张华

rust 镜像源 diesel

Kafka系列第6篇:消息是如何在服务端存储与读取的,你真的知道吗?

z小赵

Java 大数据 kafka 实时计算

GrowingIO 微服务 SaaS 与私有部署运行实践

GrowingIO技术专栏

大数据 微服务架构 SaaS

CDN云课堂 |可编程CDN – EdgeScript应用场景、语言速览和实操演示

阿里云Edge Plus

多个 SSH keys 的配置,方便 Git 对不同仓库的使用与管理

与光

git GitHub SSH

Java 编程基础

michaelliu

CDN云课堂 | EdgeRoutine技术专家教你把JS代码跑到CDN边缘

阿里云Edge Plus

Java CDN edge

一杯茶的时间,上手 Git 团队协作开发

图雀社区

git GitHub

聊聊Serverless

kimmking

可视化 Tekton 组件 Tekton Dashboard

郭旭东

Kubernetes cicd

用测试驱动开发学算法

escray

学习 CSD 认证实战营

读懂才会用 : 瞅瞅Redis的epoll模型

小眼睛聊技术

redis 缓存 学习 开源 架构 后端

一文看懂开源工作流引擎 Flowable

Herbert

Java spring 开源 企业中台 工作流

Service Mesh的演化与未来

Service Mesh的演化与未来

攻击流量超过300G,遭遇DDoS时我们能做些什么?-InfoQ