- 方案概述
坤通高防云服務器主機,支持全業(yè)務抗DDoS防護,,集成了業(yè)界領先的DDoS防御能力和專業(yè)化的主機防入侵功能,解決云主機面臨的流量攻擊、病毒勒索,、惡意挖礦,、暴力破解,、漏洞攻擊等安全問題,為用戶提供獨享防護資源,,以應對大規(guī)模的攻擊事件;提供數(shù)據(jù)中心和私有云多活部署,,GSLB,業(yè)務流自動切換,,無論應用部署在哪里,都能夠實現(xiàn)統(tǒng)一的安全策略(單點登錄(SSO),,應用防火墻(WAF)),。
坤通高防服務是針對互聯(lián)網(wǎng)服務器在遭受大流量的DDoS攻擊后導致服務不可用的情況下的增值防護服務。該服務可為客戶提供DDoS,、CC等攻擊的防護能力,,可防護SYN Flood、ACK Flood,、UDP Flood,、ICMP Flood、連接耗盡攻擊,、DNS Request/Response Flood,、HTTP Get/Post Flood等3到7層的攻擊。
DDoS高防服務采用分層防御,、分布式清洗,,通過精細化多層過濾防御技術,可以有效檢測和過濾攻擊流量,。網(wǎng)絡拓撲示意圖如下:
圖1. 網(wǎng)絡拓撲示意圖
對于系統(tǒng)和數(shù)據(jù)提供全面的防護,,支持持續(xù)數(shù)據(jù)保護(CDP),最強大之處在于數(shù)據(jù)保護無處不在,,從底層的操作系統(tǒng)到數(shù)據(jù)庫、應用系統(tǒng),,支持vmware/hyper-v/openstack/KVM等虛擬化技術云平臺,,提供全生態(tài)的高防云主機。
- DDos攻擊主要方式
分布式拒絕服務(Distributed Denial of Service,,簡稱DDoS)指借助于客戶機/服務器模式,,將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標發(fā)動DDoS攻擊,,從而成倍地提高拒絕服務攻擊的威力,。
通常,攻擊者使用一個非法賬號將DDoS主控程序安裝在一臺計算機上,,并在網(wǎng)絡上的許多計算機上安裝了代理程序,。在所設定的時間,主控程序將與大量代理程序進行通訊,,代理程序收到指令時就發(fā)動攻擊,。利用客戶機/服務器模式,主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行,。
常見的DDoS攻擊類型包括畸形報文,、傳輸層DDoS攻擊、DNS DDoS攻擊,、連接型DDoS攻擊,、Web應用層DDoS攻擊。
畸形報文攻擊指通過向目標系統(tǒng)發(fā)送有缺陷的IP報文,,使得目標系統(tǒng)在處理這樣的報文時出現(xiàn)崩潰,,從而達到拒絕服務的攻擊目的。
畸形報文主要包括以下類型:Frag Flood,、Smurf,、Stream Flood、Land Flood,、IP畸形報文,、TCP畸形報文、UDP畸形報文,。
傳輸層DDoS攻擊主要是指Syn Flood,、Ack Flood、UDP Flood,、ICMP Flood,、RstFlood等攻擊。
以Syn Flood攻擊為例,,它利用了TCP協(xié)議的三次握手機制,,當服務端接收到一個Syn請求時,,服務端必須使用一個監(jiān)聽隊列將該連接保存一定時間。因此,,通過向服務端不停發(fā)送Syn請求,,但不響應Syn+Ack報文,從而消耗服務端的資源,。當監(jiān)聽隊列被占滿時,,服務端將無法響應正常用戶的請求,達到拒絕服務攻擊的目的,。
DNS DDoS攻擊主要是指DNS Request Flood,、DNS Response Flood、虛假源+真實源DNS Query Flood,、權威服務器攻擊和Local服務器攻擊,。
以DNS Query Flood攻擊為例,其本質上執(zhí)行的是真實的Query請求,,屬于正常業(yè)務行為。但如果多臺傀儡機同時發(fā)起海量的域名查詢請求,,服務端無法響應正常的Query請求,,從而導致拒絕服務。
連接型DDoS攻擊主要是指TCP慢速連接攻擊,、連接耗盡攻擊,、Loic、Hoic,、Slowloris,、 Pyloris、Xoic等慢速攻擊,。
以Slowloris攻擊為例,,其攻擊目標是Web服務器的并發(fā)上限,當Web服務器的連接并發(fā)數(shù)達到上限后,,Web服務即無法接受新的請求,。具體來說,Web服務接收到新的HTTP請求時,,建立新的連接來處理請求,,并在處理完成后關閉這個連接;如果該連接一直處于連接狀態(tài),,收到新的HTTP請求時則需要建立新的連接進行處理,;而當所有連接都處于連接狀態(tài)時,Web將無法處理任何新的請求,。
Slowloris攻擊利用HTTP協(xié)議的特性來達到攻擊目的,。HTTP請求以rnrn標識Headers的結束,,如果Web服務端只收到rn,則認為HTTP Headers部分沒有結束,,將保留該連接并等待后續(xù)的請求內(nèi)容,。
Web應用層攻擊主要是指HTTP Get Flood、HTTP Post Flood,、CC等攻擊,。
通常應用層攻擊完全模擬用戶請求,類似于各種搜索引擎和爬蟲一樣,,這些攻擊行為和正常的業(yè)務并沒有嚴格的邊界,,難以辨別。
Web服務中一些資源消耗較大的事務和頁面,。例如,,Web應用中的分頁和分表,如果控制頁面的參數(shù)過大,,頻繁的翻頁將會占用較多的Web服務資源,。尤其在高并發(fā)頻繁調用的情況下,類似這樣的事務就成了早期CC攻擊的目標,。
由于現(xiàn)在的攻擊大都是混合型的,,因此模擬用戶行為的頻繁操作都可以被認為是CC攻擊。例如,,各種刷票軟件對網(wǎng)站的訪問,,從某種程度上來說就是CC攻擊。
CC攻擊瞄準的是Web應用的后端業(yè)務,,除了導致拒絕服務外,,還會直接影響Web應用的功能和性能,包括Web響應時間,、數(shù)據(jù)庫服務,、磁盤讀寫等。
坤通科技作為行業(yè)先行者,,坤通云主機免費為用戶提供最高5G的默認D防護能力,,并推出了安全信譽防護聯(lián)盟,將基于安全信譽分進一步提升DDoS防護能力,,用戶最高可獲得更高的DDoS防護流量,。
- 總體方案架構
架構能解決(包括但不限于):
- 突發(fā)大流量DDoS、CC攻擊
- 病毒勒索,、木馬攻擊,、惡意挖礦
- 暴力破解,惡意掃描和爬蟲行為
高防是企業(yè)重要業(yè)務連續(xù)性的有力保障,,用戶可以通過修改DNS解析或對外服務地址為高防IP,,將惡意攻擊流量引流到高防IP清洗,,保護對外IP地址不被(無法訪問),確保重要業(yè)務不被攻擊中斷,??煞沼谒接性啤⒐性萍?/span>IDC的互聯(lián)網(wǎng)主機,。
未接入高防IP:
未接入高防IP時,,源站直接對互聯(lián)網(wǎng)暴露,一旦發(fā)生DDoS攻擊,,很容易導致源站癱瘓
圖2. 未接入高防IP
接入高防IP后:
使用高防服務后,,把域名解析到高防IP(Web業(yè)務把域名解析指向高防IP,非Web業(yè)務把業(yè)務IP替換成高防IP),,接入高防IP后,,所有訪問經(jīng)過高防IP過濾。
圖3. 接入高防IP
DDoS高防服務通過高防IP代理源站IP對外提供服務,,將所有的公網(wǎng)流量都引流至高防IP,,進而隱藏源站,避免源站(用戶業(yè)務)遭受大流量DDoS攻擊,。DDoS高防引流和轉發(fā)原理示意圖如下:
圖4. DDoS高防引流和轉發(fā)
客戶訪問源站(用戶業(yè)務)的客戶,,源站服務器所使用的公網(wǎng)IP,也是被防護的IP地址,,應避免對外暴露(泄露)。使用高防服務后,,IP被隱藏,,與源站IP相對應,用于代替源站IP來面向客戶提供服務,,使源站IP不直接暴露出去,。
回源IP是高防機房代替客戶去和源站服務器通信的若干個IP地址(高防機房會將客戶的IP隨機轉換成某個回源IP,并由這個回源IP代替客戶IP去和源站服務器通信),。
圖5. 攻擊及清洗
圖6. 高防服務原理簡介
圖7. 防D架構設計
圖8. 防D云平臺設計
圖9. 數(shù)據(jù)保護技術
- 平臺特點
4.1 全方位防護
網(wǎng)絡七層+用戶/終端全面防護,,全代理架構,3-7層的業(yè)務可視化,,對業(yè)務進行控制,,防護情況快速可見。業(yè)內(nèi)領先的AI云查殺引擎,、海量惡意樣本庫和DDoS防護資源,、先進的檢測和防御算法、高可用的產(chǎn)品架構,。與普通的IDC(Integrated Data Center)機房或服務器廠商相比,,坤通提供的高仿云服務器具有高可用性,、安全性和彈性的優(yōu)勢。
坤通高仿云服務器通過了多種國際安全標準認證,,包括ISO27001,、MTCS等。安全合規(guī)性對于用戶數(shù)據(jù)的私密性,、用戶信息的私密性以及用戶隱私的保護力度都有非常嚴格的要求,。
另外在網(wǎng)絡建設方面,推薦您使用專有網(wǎng)絡VPC,。專有網(wǎng)絡提供了穩(wěn)定,、安全、快速交付,、自主可控的網(wǎng)絡環(huán)境,。對于傳統(tǒng)行業(yè)以及未接觸到云計算的行業(yè)和企業(yè)而言,借助專有網(wǎng)絡混合云的能力和混合云的架構,,將享受云計算所帶來的技術紅利,。
4.2 彈性防護
防護閥值支持動態(tài)調整,可隨時根據(jù)業(yè)務情況調整防護級別,,整個過程業(yè)務無中斷,,保障業(yè)務訪問持續(xù)性。
云計算最大的優(yōu)勢在于彈性與靈活性,。坤通科技擁有在數(shù)分鐘內(nèi)創(chuàng)建出一家中型互聯(lián)網(wǎng)公司所需要的IT資源的能力,,保證了大部分企業(yè)在云上所構建的業(yè)務都能夠承受巨大的業(yè)務量壓力。
坤通高仿云服務器的彈性體現(xiàn)在計算的彈性,、存儲的彈性,、網(wǎng)絡的彈性以及您對于業(yè)務架構重新規(guī)劃的彈性。您可以使用任意方式去組合業(yè)務,,阿里云都能夠滿足您的需求,。
4.3 快速檢測威脅
精準識別秒級防護、支持外部源站,、大流量攻擊防護,、多協(xié)議支持、安全省心快速進入,、按需購買動態(tài)調整,、專業(yè)支持快速響應?;诤灻蛻靡?guī)則,,快速檢測4種常見攻擊類型,當對業(yè)務了解更深的專業(yè)人士,甚至可以減少未知的攻擊類型的攻擊,,快速的決策,,低誤報率。采用業(yè)界領先的檢測及防護技術,,可檢測并防護HTTP,、TCP、UDP等多種協(xié)議,。
4.4 啟發(fā)式流量分析
善于分辨“正常”流量和“惡意”流量 ,,對于超出基線的流量,進行應用分析,,快速抵擋多種途徑的DDoS攻擊,。自動識別客戶的資產(chǎn)信息,統(tǒng)一可視化管理,,實時識別,、分析、預警安全威脅,,幫助客戶實時掌握資產(chǎn)風險狀況,。
4.5 源端隱藏技術
對主機的源端進行隱藏和替換,使用高防安全點對外發(fā)布應用,,使攻擊流量無法直達源站,,增加源站安全性。
4.6 應用場景豐富
應對各種復雜和多類型的安全威脅攻擊,,防護大流量的攻擊,、病毒勒索、惡意挖礦,、及時預警現(xiàn)網(wǎng)0Day漏洞,,結合安全攻防和實戰(zhàn)經(jīng)驗,提供全方位的業(yè)務接入支持,,及時響應現(xiàn)網(wǎng)安全漏洞,修復閉環(huán),。在抵御大規(guī)模的DDoS攻擊,、防止病毒勒索和惡意挖礦、智能化的威脅風險掃描,、滿足等保合規(guī)的安全要求等應用場景提供防護功能,。
4.7 多類型防護
| 防護分類 |
描述 |
| 畸形報文過濾 |
過濾 frag flood,smurf,,stream flood,,land flood 攻擊,過濾 IP 畸形包,、TCP 畸形包,、UDP 畸形包,。 |
| 網(wǎng)絡層 DDoS 攻擊防護 |
過濾 UDP Flood、SYN Flood,、TCP Flood,、ICMP Flood、ACK Flood,、FIN Flood,、RST Flood、DNS/NTP/SSDP 等反射攻擊,、空連接,。 |
| 應用層 DDoS 攻擊防護 |
過濾 CC 攻擊和 HTTP 慢速攻擊。 |
- 功能描述
5.1 DDoS/CC攻擊防護 :
擇優(yōu)近源清洗:依托國內(nèi)及海外多個的全球化清洗中心布局,,為單用戶提供T級防御能力,,用戶業(yè)務可基于地域進行擇優(yōu)近源接入清洗中心
支持WAF/CC防護:識別并阻斷SQL注入、XSS跨站腳本攻擊,、CC攻擊,、惡意爬蟲掃描、CSRF等攻擊,,保護Web服務安全穩(wěn)定
網(wǎng)絡型攻擊防護功能:對SYN Flood,、ACK Flood、UDP Flood,、ICMP Flood,、DNS Flood、RST Flood,、Connection Flood,、SockStress等類型攻擊進行清洗
Web應用攻擊防護功能:支持HTTP Get/Post Flood、HTTPS Flood,、HTTP慢速攻擊,、HTTP重傳攻擊、HTTP劫持攻擊,、WordPress反射攻擊,、RUDY、LOIC等
5.2 彈性帶寬防護 :
保底帶寬:保底帶寬以較低的費用保證客戶業(yè)務的基本帶寬安全,,支持20-600G起保底帶寬購買,,可隨時進行保底帶寬升級
彈性帶寬:彈性帶寬用于保障在異常突發(fā)流量情況下客戶業(yè)務的穩(wěn)定可靠,支持20-600G彈性帶寬選擇,,可定制更大防護能力
5.3 全業(yè)務支持:
支持多轉發(fā)規(guī)則:支持用戶配置50條轉發(fā)規(guī)則,,每條規(guī)則可為20個源站提供防護,提高用戶業(yè)務部署的靈活性
支持流量轉發(fā)負載均衡:支持對用戶流量進行清洗,并將清洗后的流量輪詢分發(fā)到不同的后端源站服務器上
支持地理位置過濾:支持基于源IP的地理位置配置過濾條件,,阻斷來自設定的某個國家的源IP訪問(可避免國外惡意攻擊)
5.4 報表管理
支持對攻擊事件,、攻擊流量的統(tǒng)計,支持自定義時間查看攻擊報表,。
- 應用場景/領域
DDoS高防服務的主要使用場景包括:娛樂(游戲),、金融、政府,、電商,、媒資、教育(在線)等行業(yè),。
娛樂(游戲)行業(yè)是DDoS攻擊的重災區(qū),,高防IP能保證游戲的可用性和持續(xù)性,提高用戶體驗,,在商家活動,、節(jié)日游戲等旺季時段提供防護。
滿足金融行業(yè)的合規(guī)性要求,,保證線上交易的實時性,、安全穩(wěn)定性。
滿足國家政務云建設標準的安全需求,,為重大會議,、活動、敏感時期提供安全保障,,確保民生服務正??捎茫S護政府公信力,。
為用戶訪問互聯(lián)網(wǎng)提供防護,,使業(yè)務正常不中斷,在電商大促等活動時段提供防護功能,。
保證企業(yè)站點服務持續(xù)可用,,避免DDoS攻擊造成經(jīng)濟和企業(yè)形象損失問題,降低維護費用,,節(jié)省安全成本,。
部分應用領域如下:
5.1 門戶網(wǎng)站
政府、大企業(yè)等門戶網(wǎng)站容易成為黑客及惡意競爭者首要攻擊目標,,尤其在重大活動期間,服務不可用將對品牌形象帶來重大影響及客戶流失,;
DDoS高防服務提供4-7層攻擊防御,,實時檢測、攔截惡意流量,提供99.99%高可用業(yè)務保障,,為政企門戶穩(wěn)定運行保駕護航,。
優(yōu)勢:
精準可靠的DDoS流量清洗功能,有效防護各類DDoS攻擊,、應用層攻擊
基于黑客攻擊機器學習,、業(yè)務風控大數(shù)據(jù)智能隔離等AI能力,,實現(xiàn)實時、精準防護,。
5.2 電商平臺
為電商客戶提供百萬級CC防御,,應對惡意競爭者或黑客利用大量“受控主機”發(fā)出惡意攻擊,避免電商網(wǎng)站無法訪問導致業(yè)務中斷,,帶來的經(jīng)濟損失以及客戶流失,,保障在促銷活動期間業(yè)務穩(wěn)定
優(yōu)勢:
百萬QPS級CC防護,基于黑客攻擊機器學習,、業(yè)務風控大數(shù)據(jù)智能隔離等AI能力,,實現(xiàn)實時防護,清洗成功率達99.99%,。
單IP高防護帶寬,,保障突發(fā)攻擊時的業(yè)務穩(wěn)定。
5.3 游戲,、交互場景
惡意競爭者或黑客利用大量“受控主機”發(fā)起大規(guī)模攻擊,,攻擊方式復雜多變,使游戲服務異常,,玩家掉線或卡頓,,造成極大的收入損失以及大量的玩家流失;DDoS高防為游戲用戶提供T級DDoS攻擊防御及針對游戲類業(yè)務CC攻擊防御,,保障游戲業(yè)務流暢,,日活數(shù)穩(wěn)步增長。
優(yōu)勢:
提供超大防護帶寬,,滿足游戲客戶的大流量攻擊防御需求,。
針對游戲業(yè)務特征,定制化CC防御策略,,有效攔截4-7層惡意流量,。
分布式清洗節(jié)點部署,近源接入防護,,保障游戲業(yè)務的流暢穩(wěn)定運行,。
