騰訊云：遭遇DDoS攻擊怎么防？

導(dǎo)語 | 最近幾個月處理過多起DDoS攻擊案例，從實際案例中總結(jié)了一些防護經(jīng)驗希望可以幫助到需要的同仁。本文主要分享DDoS攻擊原理、以及實際攻擊過程以及如何選擇DDoS防護方案。

一、DDOS攻擊原理概述

Distributed Denial of Service（DDoS），即分布式拒絕服務(wù)攻擊，是指攻擊者通過遠程連接惡意程序控制大量僵尸主機（全國范圍甚至全球范圍的主機）向一個或多個目標(biāo)發(fā)送大量攻擊請求，消耗目標(biāo)服務(wù)器性能或網(wǎng)絡(luò)帶寬，導(dǎo)致其無法響應(yīng)正常的服務(wù)請求。

常見攻擊類型包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood以及DNS/NTP/SSDP/memcached反射型攻擊。

DDoS攻擊會對您的業(yè)務(wù)造成以下危害：

當(dāng)DDoS攻擊打滿企業(yè)的業(yè)務(wù)帶寬時就會導(dǎo)致用戶無法正常訪問您的業(yè)務(wù)，最終造成巨大經(jīng)濟損失。

由于某些行業(yè)的惡性競爭，競爭對手可能會通過DDoS攻擊手段來打擊您的業(yè)務(wù)，最終導(dǎo)致您的業(yè)務(wù)在競爭中失敗。

二、DDos攻擊案例解析

背景：企業(yè)A的test業(yè)務(wù)一個月內(nèi)遭遇多次DDoS攻擊，攻擊流量從最初的不到10Gbps到最后攻擊流量高達300多G的防護優(yōu)化過程。

業(yè)務(wù)域名：test.com

域名解析的IP：主CLB 1.1.1.1(公網(wǎng)帶寬1Gbps)、備份CLB 1.1.1.2

1）第一波DDoS攻擊屬于試探性的,采用的是SYN Flood攻擊,攻擊流量8Gbps。假設(shè)攻擊目標(biāo)IP：1.1.1.1當(dāng)時業(yè)務(wù)架構(gòu)圖如下：

由于攻擊流量沒有超過贈送的防護流量10G，所以本次攻擊對test業(yè)務(wù)沒有任何影響，同時也沒有引起企業(yè)A的重視。

2）第二波DDos攻擊的流量已經(jīng)增加到40Gbps，由于本次攻擊遠遠超過贈送的10G防護值（也超過CLB的公網(wǎng)帶寬1Gbps），導(dǎo)致主IP：1.1.1.1被封禁后業(yè)務(wù)test無法訪問。

雖然主CLB因為DDOS攻擊無法提供服務(wù)，但是可以通過DNSpod快速切換到備份VIP：2.2.2.2實現(xiàn)在10分鐘內(nèi)恢復(fù)了90%的用戶訪問（前提是準(zhǔn)備了備份VIP可以切換）。

針對上述場景有兩種解決方案：

將重要的業(yè)務(wù)VIP加入到高防包，那么后續(xù)攻擊會通過高防包來清洗攻擊流量；

將重要的業(yè)務(wù)VIP綁定到高防IP，那么后續(xù)攻擊會先經(jīng)過高防IP清洗后回源到實際業(yè)務(wù)VIP；

最終公司A選擇了最大防護能力為300G的高防IP，來規(guī)避類似DDoS攻擊。

3）第三波DDos攻擊的流量增加到160Gbps，由于購買了高防IP防護能力高達300G，所以本次攻擊對業(yè)務(wù)沒有影響。

雖然本次攻擊防護成功，但是還需要考慮極端情況，如果攻擊流量超過300G，那么還是有影響業(yè)務(wù)訪問的風(fēng)險。為了防護超300G攻擊流量，建議購買三網(wǎng)防護IP，理論上可以提供1Tbps防護能力。

4）第四波DDoS攻擊的流量超300Gbps，導(dǎo)致高防IP：3.3.3.3被封禁，但是兜底方案通過cname自動切換解析指向三網(wǎng)IP（分別是電信、聯(lián)通、移動的公網(wǎng)IP）最終恢復(fù)業(yè)務(wù)訪問。

當(dāng)高防IP被封禁后會立即通過cname切換解析到三網(wǎng)IP，整個解析切換過程是秒級的，也就是雖然高防IP被封禁但是恢復(fù)時間可以做到秒級。

5）通過該案例可以看出，攻擊從一開始的試探性，到逐步加大攻擊流量，業(yè)務(wù)影響時長從分鐘級到秒級。只要防護到位還是可以減少業(yè)務(wù)受損時長，甚至完全規(guī)避業(yè)務(wù)受損。但是安全防護能力是需要付出成本的，也有很多企業(yè)因為成本原因選擇更適合自身的防護方案。

三、DDoS防護方案對比

1）DDoS基礎(chǔ)防護方案（免費）

防護對象：適用于騰訊云產(chǎn)品（如EIP、CLB等）

防護能力：普通用戶可享受2Gbps防護，VIP用戶可享受10Gbps防護。

配置方法：無需配置，自動為云內(nèi)產(chǎn)品IP開啟防護。

2）DDoS高防包方案

防護對象：適用于騰訊云產(chǎn)品，包括CVM、CLB、WAF、黑石物理服務(wù)器、黑石負載均衡、NAT IP、EIP、GAAP IP等，同時也適用于有大量云產(chǎn)品IP需要防護的用戶。

防護能力：在用戶購買的防護次數(shù)范圍內(nèi)（建議不限次數(shù)，避免次數(shù)限制導(dǎo)致影響業(yè)務(wù)），騰訊云提供不低于30Gbps的DDoS防護能力，最高防護能力根據(jù)各個區(qū)域的實際網(wǎng)絡(luò)情況動態(tài)調(diào)整。

3）DDoS高防IP方案

防護對象：支持TCP，UDP，HTTP和HTTPS業(yè)務(wù)（默認支持websocket）。

防護能力：BGP線路最高提供300Gbps的防護能力，三網(wǎng)線路最高可提供1Tbps的防護能力。

從三種方案對比可以發(fā)現(xiàn)防護能力最高的就是高防IP，具體采用高防包方案還是高防IP方案要根據(jù)歷史攻擊數(shù)據(jù)以及預(yù)算來決定。如果您的防護對象既有騰訊云內(nèi)的公網(wǎng)IP也有IDC的公網(wǎng)IP，同時要求防護能力比較夠可以優(yōu)先選擇高防IP。如果對防護能力低于100G，同時希望保留原有業(yè)務(wù)IP可以優(yōu)先考慮高防包。

四、其他注意事項

1）使用DDoS高防包的用戶每天將擁有三次自助解封機會，在您需要緊急恢復(fù)業(yè)務(wù)情況下，通過控制臺防護概覽界面進行自助解封。（系統(tǒng)將在每天零點時重置自助解封次數(shù)，當(dāng)天未使用的解封次數(shù)不會累計到次日。）

2）DDoS高防包僅對騰訊云內(nèi)的公網(wǎng)IP提供DDoS防護支持。如需云外的公網(wǎng)IP防護，請您購買DDoS高防IP，支持網(wǎng)站域名和業(yè)務(wù)端口的接入防護。

3）DDoS高防支持對訪問DDoS高防的源流量按照協(xié)議類型一鍵封禁。您可配置ICMP協(xié)議封禁、TCP協(xié)議封禁、UDP協(xié)議封禁和其他協(xié)議封禁，配置后相關(guān)訪問請求會被直接截斷。由于UDP協(xié)議的無連接性（不像TCP具有三次握手過程）具有天然的不安全性缺陷，若您沒有UDP業(yè)務(wù)，建議封禁UDP協(xié)議。

4）建議購買高防包選擇防護次數(shù)時，選擇無限次數(shù)，避免因為次數(shù)限制導(dǎo)致業(yè)務(wù)受損。

本文作者：騰訊云售后李彬文