QCon 广州站2022已开启,三大关键词:数字化、国产化、云原生。戳此了解 了解详情
写点什么

攻击流量超过 300G,遭遇 DDoS 时我们能做些什么?

  • 2020 年 10 月 23 日
  • 本文字数:2247 字

    阅读完需:约 7 分钟

攻击流量超过300G,遭遇DDoS时我们能做些什么?

一、 DDOS 攻击原理

Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过远程连接恶意程序控制大量僵尸主机(全国范围甚至全球范围的主机)向一个或多个目标发送大量攻击请求,消耗目标服务器性能或网络带宽,导致其无法响应正常的服务请求。



常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。


DDoS 攻击会对您的业务造成以下危害:


  • 当 DDoS 攻击打满企业的业务带宽时就会导致用户无法正常访问您的业务,最终造成巨大经济损失。

  • 由于某些行业的恶性竞争,竞争对手可能会通过 DDoS 攻击手段来打击您的业务,最终导致您的业务在竞争中失败。


二、 DDos 攻击案例解析

背景:企业 A 的 test 业务一个月内遭遇多次 DDoS 攻击,攻击流量从最初的不到 10 Gbps 到最后攻击流量高达 300 多 G 。


业务域名:test.com


域名解析的 IP:主 CLB 1.1.1.1 (公网带宽 1 Gbps)、备份 CLB 1.1.1.2


第一波 DDoS 攻击属于试探性的,采用的是 SYN Flood 攻击,攻击流量 8 Gbps。假设攻击目标 IP:1.1.1.1 ,当时业务架构图如下图所示:



由于攻击流量没有超过赠送的防护流量 10 G,所以本次攻击对 test 业务没有任何影响,同时也没有引起企业 A 的重视。


第二波 DDos 攻击的流量已经增加到 40 Gbps,由于本次攻击远远超过赠送的 10 G 防护值(也超过 CLB 的公网带宽 1 Gbps),导致主 IP:1.1.1.1 被封禁后业务 test 无法访问。



虽然主 CLB 因为 DDoS 攻击无法提供服务,但是可以通过 DNSpod 快速切换到备份 VIP:2.2.2.2 实现在 10 分钟内恢复了 90% 的用户访问(前提是准备了备份 VIP 可以切换)。


针对上述场景有两种解决方案:


  • 将重要的业务 VIP 加入到高防包,那么后续攻击会通过高防包来清洗攻击流量;

  • 将重要的业务 VIP 绑定到高防 IP,那么后续攻击会先经过高防 IP 清洗后回源到实际业务 VIP


最终公司 A 选择了最大防护能力为 300 G 的高防 IP,来规避类似 DDoS 攻击。


第三波 DDos 攻击的流量增加到 160 Gbps,由于购买了高防 IP 防护能力高达 300G,所以本次攻击对业务没有影响。



虽然本次攻击防护成功,但是还需要考虑极端情况,如果攻击流量超过 300G,那么还是有影响业务访问的风险。为了防护超 300G 攻击流量,建议购买三网防护 IP,理论上可以提供 1 Tbps 防护能力。


第四波 DDoS 攻击的流量超 300 Gbps,导致高防 IP:3.3.3.3 被封禁,但是兜底方案通过 cname 自动切换解析指向三网 IP(分别是电信、联通、移动的公网 IP)最终恢复业务访问。



当高防 IP 被封禁后会立即通过 cname 切换解析到三网 IP,整个解析切换过程是秒级的,也就是虽然高防 IP 被封禁但是恢复时间可以做到秒级。


通过该案例可以看出,攻击从一开始的试探性,到逐步加大攻击流量,业务影响时长从分钟级到秒级。但只要防护到位还是可以减少业务受损时长,甚至可以完全规避业务受损。


但是安全防护能力是需要付出成本的,也有很多企业因为成本原因选择更适合自身的防护方案。


三、 DDoS 防护方案对比

1. DDoS 基础防护方案(免费)


防护对象:适用于腾讯云产品(如 EIP、CLB 等)。


防护能力:普通用户可享受 2 Gbps 防护,VIP 用户 可享受 10 Gbps 防护。


配置方法:无需配置,自动为云内产品 IP 开启防护。


2. DDoS 高防包方案


防护对象:适用于腾讯云产品,包括 CVM、CLB、WAF、黑石物理服务器、黑石负载均衡、NAT IP、EIP、GAAP IP 等,同时也适用于有大量云产品 IP 需要防护的用户。


防护能力:在用户购买的防护次数范围内(建议不限次数,避免次数限制导致影响业务),腾讯云提供不低于 30 Gbps 的 DDoS 防护能力, 最高防护能力根据各个区域的实际网络情况动态调整。


3. DDoS 高防 IP 方案


防护对象:支持 TCP,UDP,HTTP 和 HTTPS 业务(默认支持 websocket)。


防护能力:BGP 线路最高提供 300 Gbps 的防护能力,三网线路最高可提供 1 Tbps 的防护能力。


从三种方案对比可以发现:防护能力最高的就是高防 IP,但具体采用高防包方案还是高防 IP 方案要根据历史攻击数据以及预算来决定。


如果您的防护对象既有腾讯云内的公网 IP 也有 IDC 的公网 IP,同时要求防护能力比较够可以优先选择高防 IP。如果对防护能力低于 100 G,同时希望保留原有业务 IP 可以优先考虑高防包。


四、 其他注意事项

第一,使用 DDoS 高防包的用户每天将拥有三次自助解封机会,在您需要紧急恢复业务情况下,通过控制台防护概览界面进行自助解封。(系统将在每天零点时重置自助解封次数,当天未使用的解封次数不会累计到次日。)


第二,DDoS 高防包仅对腾讯云内的公网 IP 提供 DDoS 防护支持。如需云外的公网 IP 防护,请您购买 DDoS 高防 IP,支持网站域名和业务端口的接入防护。


第三,DDoS 高防支持对访问 DDoS 高防的源流量按照协议类型一键封禁。您可配置 ICMP 协议封禁、TCP 协议封禁、UDP 协议封禁和其他协议封禁,配置后相关访问请求会被直接截断。由于 UDP 协议的无连接性(不像 TCP 具有三次握手过程)具有天然的不安全性缺陷,若您没有 UDP 业务,建议封禁 UDP 协议。


最后,建议购买高防包选择防护次数时,选择无限次数,避免因为次数限制导致业务受损。


参考资料


[1] 腾讯云防护介绍:


https://cloud.tencent.com/document/product/1021/44463


[2] DDoS 高防包方案配置方法:


https://cloud.tencent.com/document/product/1021/43898


[3] DDoS 高防 IP 方案配置方法:


https://cloud.tencent.com/document/product/1014/44088


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接


攻击流量超过300G,遭遇DDoS时我们能做些什么?


2020 年 10 月 23 日 10:001747

评论 4 条评论

发布
用户头像
我还以为有什么高招详解,原来就是推销高仿包的
2020 年 10 月 28 日 09:43
回复
用户头像
广告,没什么意义的文章也推荐。。。。
2020 年 10 月 26 日 12:16
回复
用户头像
广告贴
2020 年 10 月 23 日 18:13
回复
用户头像
推销高防产品太明显了吧
2020 年 10 月 23 日 17:54
回复
没有更多了
发现更多内容

原理实践,全面讲解Logstash+Kibana+kafka

996小迁

Java 程序员 架构 面试

Java8 Stream:2万字20个实例,玩转集合的筛选、归约、分组、聚合

比伯

Java 架构 面试 编程语言 计算机

性能优化:线程资源回收

AI乔治

Java 架构 JVM 性能调优

Linux笔记(一):基本命令

Leo

Linux 大前端 笔记

谁说产品经理和程序员之间不能和平共处?

华为云开发者社区

DevOps 产品经理 用户地图

区块链溯源有哪些优势?区块链产品溯源系统搭建

13530558032

使用sonar扫描svn中的代码后,没有作者或责任人信息

lee

svn 代码质量 sonar

实体经济的数智化要塞,为什么是供应链?

脑极体

连企业业务模式都搞不清楚,何谈研发体系建设?

菜根老谭

研发体系

Windows环境下如何进行线程Dump分析

Java老k

Java dump

很简单却能让你面试头疼得Java容器,这里从源码给你解释清楚

小Q

Java 学习 源码 容器 面试

K8S CSI 容器存储接口 (二):如何编写一个CSI插件

silenceper

Kubernetes Kubernetes源码 CSI

浅谈原子操作

阿里云基础软件团队

内核

一口气看完45个寄存器,CPU核心技术大揭秘

程序员架构进阶

cpu 操作系统 寄存器 核心

淘宝APP高并发架构设计pdf已开源:从架构分层到实战维护,挑战全网

Java~~~

Java 编程语言 高并发 淘宝 高并发系统设计

全球至少有36家央行发布了央行数字货币计划

CECBC

数字货币

K8S CSI容器存储接口(一):介绍以及原理

silenceper

Kubernetes CSI

架构师训练营 -week10-作业

大刘

极客大学架构师训练营

区块链赋能保险理赔,宁波开启“零感知理赔”试点

CECBC

区块链 保险理赔

用FL Studio基础版制作一首完整的电音

奈奈的杂社

音乐制作 编曲 电音 电音制作 中国电音

LeetCode题解:17. 电话号码的字母组合,回溯,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

架构师训练营第十周作业

我是谁

极客大学架构师训练营

一文搞懂所有HashMap面试题

编程 面试 计算机

服务器选择要注意什么?

德胜网络-阳

Linux笔记(二): vim 基本操作

Leo

Linux 学习 大前端

当艺术品遇上区块链:金丝楠木艺术品溯源

CECBC

区块链 溯源 艺术品

区块链版权应用开发,区块链助力版权保护

13530558032

极客大学 - 架构师训练营 第十周总结

9527

BitArray虽好,但请不要滥用,一次线上内存暴增排查

AI乔治

Java 架构 JVM 内存泄露

Java开发利器之重试器

Java老k

Java

【2020GET】即构科技蒋宁波:教育行业客户需求的核心是什么?

ZEGO即构

攻击流量超过300G,遭遇DDoS时我们能做些什么?_架构_云加社区_InfoQ精选文章