每一次活動大促帶來的迅猛流量,對技術人而言都是一次嚴峻考驗,如果在活動期間遭受黑產惡意DDoS攻擊,無疑是雪上加霜,電商的特性是業務常態下通常不會遭受大流量DDoS攻擊,且對延遲敏感,因此只需要在活動期間按需使用DDoS防護,本篇文章由專業的安全團隊為你分享如何根據 DDoS攻擊情況和業務健康狀況,實時調整防護策略,保障業務穩定性的同時,節省大量安全防護和運營成本,
如果你的網站或應用程式突然出現大量可疑的訪問量,而正常用戶不能訪問或無法連接服務器,那很有可能是遭遇了DDoS 攻擊,DDoS 是互聯網黑色產業鏈中成熟且常見的攻擊手段,攻擊簡單粗暴又有效,溯源困難,犯罪成本低,
一、DDos究竟是如何進行攻擊的?
我們通過一個例子可以幫你更形象地理解它:
小王開了一間餐廳,面積不大,最多只能容納 50 位客人同時就餐,但由于味道好菜量足,每天就餐的客人絡繹不絕,火爆的生意引起了這條街上流氓的眼紅,他派了 100 多人來小王的店里搗亂,這些人看上去和普通顧客沒什么區別,小王和服務員只能正常提供服務,但這些人只是不停地詢問菜品和價格,并不點菜,霸占了所有的座位和服務員,使其他客人無法正常就餐,最終導致餐廳倒閉,
這就是典型的 DDoS 攻擊模式,它在短時間內發起大量請求,超過系統可處理范圍,使目標網路或系統資源耗盡,導致服務暫時中斷或停止,正常用戶無法訪問,
DDoS 全稱 Distributed Denial-of-Service,其中 Denial-of-Service 意為拒絕服務,它的目的就是使服務不能訪問,Distributed 是分布式,指的是這種攻擊不是來自一個源頭,有可能來源于成千上萬臺設備,
隨著 IoT 行業發展,物聯網設備增多,在線時間長,漏洞更新周期長,成為攻擊者漏洞利用的溫床,物聯網設備逐漸成為 DDoS 攻擊的主力軍, 據統計,2021年DDoS混合攻擊大幅增長,較2020年增長80.8%,2022年DDoS攻擊威脅創歷年新高,超大規模攻擊持續增長已成為常態,
二、DDoS 的主要攻擊方式
一般來說,DDoS的表現形式主要有兩種:
- 流量攻擊,主要是針對網路帶寬的攻擊,即大量攻擊包導致網路帶寬被阻塞,合法網路包被虛假的攻擊包淹沒而無法到達主機,包括 UDP洪水攻擊、ICMP洪水攻擊、死亡之Ping、淚滴攻擊等攻擊方式,
- 資源耗盡攻擊,主要是針對服務器主機的攻擊,即通過大量攻擊包導致主機的記憶體被耗盡或CPU被內核及應用程式占完而造成無法提供網路服務,包括 SYN flood、LAND攻擊、CC攻擊、僵尸網路攻擊、應用程式級洪水攻擊等攻擊方式,
根據行業權威報告顯示,僵尸網路不再局限于單一的 DDoS 攻擊手段,而是選擇與勒索軟體、挖礦木馬合作進行攻擊,部分則轉向分布式爆破攻擊,攻擊手段的豐富和靈活的切換使得黑灰產能夠進一步降低 DDoS 攻擊成本,提升攻擊效果,
三、DDoS攻擊如何防范?
我們雖然無法阻止惡意的攻擊者向服務器發送大量不真實的訪問資料資訊,但可以提前做好準備,提高負載處理的能力,比如可以為帶寬擴容,在短時間內為網站急劇擴容,提供幾倍或幾十倍的帶寬,頂住大流量的請求,也可以購買IP 高防服務,只需在 DNS 服務商處,將待保護的域名在 CNAME 決議到京東云為您配置的安全域名上,即可完成接入,有效抵御 SYN Flood、UDP Flood、ICMP Flood 等各種大流量攻擊,IP 高防總防護能力達到 TB 級,輕松抵御超大流量攻擊,
但某些企業用戶業務常態下未遭受大流量DDoS攻擊,且對延遲敏感,因此用戶希望常態下不使用DDoS防護產品和服務,只在企業大促、展會、產品發布會、新業務上線等重要活動場景,以及企業融資、并購、上市等關乎企業發展的重大事件期間,極易遭受競爭對手和黑產惡意DDoS攻擊,需要在活動期間按需使用DDoS防護產品和服務,并由專業的安全團隊提供7*24小時安全重保,監控DDoS攻擊情況和業務健康狀況,實時調整防護策略,保障業務穩定性的同時,也可節省大量安全防護和運營成本,
四、DDoS定制防護服務應勢而出
京東云上某電商客戶,在大促前期收到威脅情報,活動期間會有大量來自海外的 DDoS 攻擊,經過京東云安全團隊觀察,攻擊流量中接近 4 成來自海外,且 CC 攻擊較多,由于客戶已經接入 IP 高防產品,CC 攻擊被有效防護,攻擊者發現 CC 攻擊未能導致客戶源站拒絕服務后,開始嘗試四層大流量攻擊,攻擊峰值超過客戶 IP 高防保底帶寬,彈性防護生效后開始按天產生費用,
為降低客戶 DDoS 防護整體投入,京東云應勢推出 DDoS 定制防護服務(Anti-DDoS Premium Service),為此類有活動重保需求的用戶提供專業的 DDoS 攻擊防護解決方案,根據用戶應用場景提供定制化的近源清洗、流量壓制、DNS重繪等服務,保障用戶業務持續穩定運行,
在上述案例中,京東云安全團隊協助客戶開啟流量壓制功能,封禁海外流量,有效降低了攻擊流量進入 IP 高防節點,減小客戶防護壓力,順利完成客戶大促重保防護任務,
京東云安全團隊可以提供7*24小時遠程支持,實時監控攻擊趨勢和業務健康狀況,保障業務持續穩定運行, 全面分析客戶所面臨的安全威脅,針對客戶重大業務活動提供專屬的DDoS防護方案,并根據客戶場景定制服務內容,彈性計費,幫助客戶節省成本,
五、DDoS定制防護服務架構原理
DDoS 定制防護服務包括近源清洗、流量壓制、DNS重繪等服務,可根據具體客戶場景提供定制服務:
近源清洗
近源清洗是在運營商側骨干網路提供大流量的 DDoS 攻擊清洗,清洗靠近攻擊源,能夠有效緩解用戶 IP 高防實體和京東云上源站的防護壓力,降低被攻擊業務進入黑洞的概率,
流量壓制
流量壓制是在運營商側骨干網路實作流量封禁,可根據業務實際被攻擊的流量地域分布特性,自主選擇封禁區域,例如當用戶發現 DDoS 攻擊中海外流量占比較高,而業務本身并不對海外提供服務,用戶可自主選擇封禁海外流量,同時也支持用戶隨時解除封禁,
DNS 重繪
域名系統(Domain Name System,簡稱 DNS)是整個互聯網服務的基礎系統之一,負責將人們訪問的互聯網域名轉換為IP地址,這一轉換的程序叫做“域名決議”, 所以 DNS 又稱“域名決議系統”,
域名系統每個節點都由若干 DNS 服務器組成,這些節點服務器中擁有域名決議配置管理權限的服務器稱為權威 DNS 服務器,沒有域名決議配置管理權限,但是能同步權威 DNS 服務器資料,利用同步快取提供決議服務的稱為快取 DNS 服務器,權威 DNS 服務器只擁有部分域名的資料,且互相之間沒有直接聯系,為能夠提供更全面的域名決議服務,產生了遞回 DNS 服務器,互聯網中的遞回 DNS 服務器通常由運營商管理,
DNS 重繪即運營商遞回 DNS 服務器發起的和權威 DNS 服務器同步程序,同步程序秒級生效,保障用戶業務接入和切換流暢,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/504445.html
標籤:其他