- 方案概述
坤通高防云服務(wù)器主機,支持全業(yè)務(wù)抗DDoS防護,集成了業(yè)界領(lǐng)先的DDoS防御能力和專業(yè)化的主機防入侵功能,解決云主機面臨的流量攻擊、病毒勒索,、惡意挖礦、暴力破解、漏洞攻擊等安全問題,,為用戶提供獨享防護資源,以應(yīng)對大規(guī)模的攻擊事件,;提供數(shù)據(jù)中心和私有云多活部署,,GSLB,業(yè)務(wù)流自動切換,無論應(yīng)用部署在哪里,,都能夠?qū)崿F(xiàn)統(tǒng)一的安全策略(單點登錄(SSO),,應(yīng)用防火墻(WAF))。
坤通高防服務(wù)是針對互聯(lián)網(wǎng)服務(wù)器在遭受大流量的DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下的增值防護服務(wù),。該服務(wù)可為客戶提供DDoS,、CC等攻擊的防護能力,可防護SYN Flood,、ACK Flood,、UDP Flood、ICMP Flood,、連接耗盡攻擊,、DNS Request/Response Flood、HTTP Get/Post Flood等3到7層的攻擊,。
DDoS高防服務(wù)采用分層防御,、分布式清洗,通過精細(xì)化多層過濾防御技術(shù),,可以有效檢測和過濾攻擊流量,。網(wǎng)絡(luò)拓?fù)涫疽鈭D如下:
圖1. 網(wǎng)絡(luò)拓?fù)涫疽鈭D
對于系統(tǒng)和數(shù)據(jù)提供全面的防護,支持持續(xù)數(shù)據(jù)保護(CDP),最強大之處在于數(shù)據(jù)保護無處不在,,從底層的操作系統(tǒng)到數(shù)據(jù)庫,、應(yīng)用系統(tǒng),支持vmware/hyper-v/openstack/KVM等虛擬化技術(shù)云平臺,,提供全生態(tài)的高防云主機,。
- DDos攻擊主要方式
分布式拒絕服務(wù)(Distributed Denial of Service,簡稱DDoS)指借助于客戶機/服務(wù)器模式,將多個計算機聯(lián)合起來作為攻擊平臺,,對一個或多個目標(biāo)發(fā)動DDoS攻擊,,從而成倍地提高拒絕服務(wù)攻擊的威力。
通常,,攻擊者使用一個非法賬號將DDoS主控程序安裝在一臺計算機上,,并在網(wǎng)絡(luò)上的許多計算機上安裝了代理程序。在所設(shè)定的時間,,主控程序?qū)⑴c大量代理程序進行通訊,,代理程序收到指令時就發(fā)動攻擊。利用客戶機/服務(wù)器模式,,主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行,。
常見的DDoS攻擊類型包括畸形報文、傳輸層DDoS攻擊,、DNS DDoS攻擊,、連接型DDoS攻擊、Web應(yīng)用層DDoS攻擊,。
畸形報文攻擊指通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報文,,使得目標(biāo)系統(tǒng)在處理這樣的報文時出現(xiàn)崩潰,從而達(dá)到拒絕服務(wù)的攻擊目的,。
畸形報文主要包括以下類型:Frag Flood、Smurf,、Stream Flood,、Land Flood、IP畸形報文,、TCP畸形報文,、UDP畸形報文。
傳輸層DDoS攻擊主要是指Syn Flood,、Ack Flood,、UDP Flood、ICMP Flood,、RstFlood等攻擊,。
以Syn Flood攻擊為例,它利用了TCP協(xié)議的三次握手機制,,當(dāng)服務(wù)端接收到一個Syn請求時,,服務(wù)端必須使用一個監(jiān)聽隊列將該連接保存一定時間。因此,,通過向服務(wù)端不停發(fā)送Syn請求,,但不響應(yīng)Syn+Ack報文,從而消耗服務(wù)端的資源,。當(dāng)監(jiān)聽隊列被占滿時,,服務(wù)端將無法響應(yīng)正常用戶的請求,,達(dá)到拒絕服務(wù)攻擊的目的。
DNS DDoS攻擊主要是指DNS Request Flood,、DNS Response Flood,、虛假源+真實源DNS Query Flood、權(quán)威服務(wù)器攻擊和Local服務(wù)器攻擊,。
以DNS Query Flood攻擊為例,,其本質(zhì)上執(zhí)行的是真實的Query請求,屬于正常業(yè)務(wù)行為,。但如果多臺傀儡機同時發(fā)起海量的域名查詢請求,,服務(wù)端無法響應(yīng)正常的Query請求,從而導(dǎo)致拒絕服務(wù),。
連接型DDoS攻擊主要是指TCP慢速連接攻擊,、連接耗盡攻擊、Loic,、Hoic,、Slowloris、 Pyloris,、Xoic等慢速攻擊,。
以Slowloris攻擊為例,其攻擊目標(biāo)是Web服務(wù)器的并發(fā)上限,,當(dāng)Web服務(wù)器的連接并發(fā)數(shù)達(dá)到上限后,,Web服務(wù)即無法接受新的請求。具體來說,,Web服務(wù)接收到新的HTTP請求時,,建立新的連接來處理請求,并在處理完成后關(guān)閉這個連接,;如果該連接一直處于連接狀態(tài),,收到新的HTTP請求時則需要建立新的連接進行處理;而當(dāng)所有連接都處于連接狀態(tài)時,,Web將無法處理任何新的請求,。
Slowloris攻擊利用HTTP協(xié)議的特性來達(dá)到攻擊目的。HTTP請求以rnrn標(biāo)識Headers的結(jié)束,,如果Web服務(wù)端只收到rn,,則認(rèn)為HTTP Headers部分沒有結(jié)束,將保留該連接并等待后續(xù)的請求內(nèi)容,。
Web應(yīng)用層攻擊主要是指HTTP Get Flood,、HTTP Post Flood、CC等攻擊。
通常應(yīng)用層攻擊完全模擬用戶請求,,類似于各種搜索引擎和爬蟲一樣,,這些攻擊行為和正常的業(yè)務(wù)并沒有嚴(yán)格的邊界,難以辨別,。
Web服務(wù)中一些資源消耗較大的事務(wù)和頁面,。例如,Web應(yīng)用中的分頁和分表,,如果控制頁面的參數(shù)過大,,頻繁的翻頁將會占用較多的Web服務(wù)資源。尤其在高并發(fā)頻繁調(diào)用的情況下,,類似這樣的事務(wù)就成了早期CC攻擊的目標(biāo),。
由于現(xiàn)在的攻擊大都是混合型的,因此模擬用戶行為的頻繁操作都可以被認(rèn)為是CC攻擊,。例如,,各種刷票軟件對網(wǎng)站的訪問,從某種程度上來說就是CC攻擊,。
CC攻擊瞄準(zhǔn)的是Web應(yīng)用的后端業(yè)務(wù),,除了導(dǎo)致拒絕服務(wù)外,還會直接影響Web應(yīng)用的功能和性能,,包括Web響應(yīng)時間,、數(shù)據(jù)庫服務(wù)、磁盤讀寫等,。
坤通科技作為行業(yè)先行者,,坤通云主機免費為用戶提供最高5G的默認(rèn)D防護能力,并推出了安全信譽防護聯(lián)盟,,將基于安全信譽分進一步提升DDoS防護能力,用戶最高可獲得更高的DDoS防護流量,。
- 總體方案架構(gòu)
架構(gòu)能解決(包括但不限于):
- 突發(fā)大流量DDoS,、CC攻擊
- 病毒勒索、木馬攻擊,、惡意挖礦
- 暴力破解,,惡意掃描和爬蟲行為
高防是企業(yè)重要業(yè)務(wù)連續(xù)性的有力保障,用戶可以通過修改DNS解析或?qū)ν夥?wù)地址為高防IP,,將惡意攻擊流量引流到高防IP清洗,,保護對外IP地址不被(無法訪問),確保重要業(yè)務(wù)不被攻擊中斷,??煞?wù)于私有云、公有云及IDC的互聯(lián)網(wǎng)主機。
未接入高防IP:
未接入高防IP時,,源站直接對互聯(lián)網(wǎng)暴露,,一旦發(fā)生DDoS攻擊,很容易導(dǎo)致源站癱瘓
圖2. 未接入高防IP
接入高防IP后:
使用高防服務(wù)后,,把域名解析到高防IP(Web業(yè)務(wù)把域名解析指向高防IP,,非Web業(yè)務(wù)把業(yè)務(wù)IP替換成高防IP),接入高防IP后,,所有訪問經(jīng)過高防IP過濾,。
圖3. 接入高防IP
DDoS高防服務(wù)通過高防IP代理源站IP對外提供服務(wù),將所有的公網(wǎng)流量都引流至高防IP,,進而隱藏源站,,避免源站(用戶業(yè)務(wù))遭受大流量DDoS攻擊。DDoS高防引流和轉(zhuǎn)發(fā)原理示意圖如下:
圖4. DDoS高防引流和轉(zhuǎn)發(fā)
客戶訪問源站(用戶業(yè)務(wù))的客戶,,源站服務(wù)器所使用的公網(wǎng)IP,,也是被防護的IP地址,應(yīng)避免對外暴露(泄露),。使用高防服務(wù)后,,IP被隱藏,與源站IP相對應(yīng),,用于代替源站IP來面向客戶提供服務(wù),,使源站IP不直接暴露出去。
回源IP是高防機房代替客戶去和源站服務(wù)器通信的若干個IP地址(高防機房會將客戶的IP隨機轉(zhuǎn)換成某個回源IP,,并由這個回源IP代替客戶IP去和源站服務(wù)器通信),。
圖5. 攻擊及清洗
圖6. 高防服務(wù)原理簡介
圖7. 防D架構(gòu)設(shè)計
圖8. 防D云平臺設(shè)計
圖9. 數(shù)據(jù)保護技術(shù)
- 平臺特點
4.1 全方位防護
網(wǎng)絡(luò)七層+用戶/終端全面防護,全代理架構(gòu),,3-7層的業(yè)務(wù)可視化,,對業(yè)務(wù)進行控制,防護情況快速可見,。業(yè)內(nèi)領(lǐng)先的AI云查殺引擎,、海量惡意樣本庫和DDoS防護資源、先進的檢測和防御算法,、高可用的產(chǎn)品架構(gòu),。與普通的IDC(Integrated Data Center)機房或服務(wù)器廠商相比,坤通提供的高仿云服務(wù)器具有高可用性,、安全性和彈性的優(yōu)勢,。
坤通高仿云服務(wù)器通過了多種國際安全標(biāo)準(zhǔn)認(rèn)證,包括ISO27001,、MTCS等,。安全合規(guī)性對于用戶數(shù)據(jù)的私密性,、用戶信息的私密性以及用戶隱私的保護力度都有非常嚴(yán)格的要求。
另外在網(wǎng)絡(luò)建設(shè)方面,,推薦您使用專有網(wǎng)絡(luò)VPC,。專有網(wǎng)絡(luò)提供了穩(wěn)定、安全,、快速交付,、自主可控的網(wǎng)絡(luò)環(huán)境。對于傳統(tǒng)行業(yè)以及未接觸到云計算的行業(yè)和企業(yè)而言,,借助專有網(wǎng)絡(luò)混合云的能力和混合云的架構(gòu),,將享受云計算所帶來的技術(shù)紅利。
4.2 彈性防護
防護閥值支持動態(tài)調(diào)整,,可隨時根據(jù)業(yè)務(wù)情況調(diào)整防護級別,,整個過程業(yè)務(wù)無中斷,保障業(yè)務(wù)訪問持續(xù)性,。
云計算最大的優(yōu)勢在于彈性與靈活性,。坤通科技擁有在數(shù)分鐘內(nèi)創(chuàng)建出一家中型互聯(lián)網(wǎng)公司所需要的IT資源的能力,保證了大部分企業(yè)在云上所構(gòu)建的業(yè)務(wù)都能夠承受巨大的業(yè)務(wù)量壓力,。
坤通高仿云服務(wù)器的彈性體現(xiàn)在計算的彈性,、存儲的彈性、網(wǎng)絡(luò)的彈性以及您對于業(yè)務(wù)架構(gòu)重新規(guī)劃的彈性,。您可以使用任意方式去組合業(yè)務(wù),,阿里云都能夠滿足您的需求。
4.3 快速檢測威脅
精準(zhǔn)識別秒級防護,、支持外部源站,、大流量攻擊防護、多協(xié)議支持,、安全省心快速進入,、按需購買動態(tài)調(diào)整、專業(yè)支持快速響應(yīng),?;诤灻蛻?yīng)用規(guī)則,快速檢測4種常見攻擊類型,,當(dāng)對業(yè)務(wù)了解更深的專業(yè)人士,甚至可以減少未知的攻擊類型的攻擊,,快速的決策,,低誤報率。采用業(yè)界領(lǐng)先的檢測及防護技術(shù),,可檢測并防護HTTP,、TCP,、UDP等多種協(xié)議。
4.4 啟發(fā)式流量分析
善于分辨“正常”流量和“惡意”流量 ,,對于超出基線的流量,,進行應(yīng)用分析,快速抵擋多種途徑的DDoS攻擊,。自動識別客戶的資產(chǎn)信息,,統(tǒng)一可視化管理,實時識別,、分析,、預(yù)警安全威脅,幫助客戶實時掌握資產(chǎn)風(fēng)險狀況,。
4.5 源端隱藏技術(shù)
對主機的源端進行隱藏和替換,,使用高防安全點對外發(fā)布應(yīng)用,使攻擊流量無法直達(dá)源站,,增加源站安全性,。
4.6 應(yīng)用場景豐富
應(yīng)對各種復(fù)雜和多類型的安全威脅攻擊,防護大流量的攻擊,、病毒勒索,、惡意挖礦、及時預(yù)警現(xiàn)網(wǎng)0Day漏洞,,結(jié)合安全攻防和實戰(zhàn)經(jīng)驗,,提供全方位的業(yè)務(wù)接入支持,及時響應(yīng)現(xiàn)網(wǎng)安全漏洞,,修復(fù)閉環(huán),。在抵御大規(guī)模的DDoS攻擊、防止病毒勒索和惡意挖礦,、智能化的威脅風(fēng)險掃描,、滿足等保合規(guī)的安全要求等應(yīng)用場景提供防護功能。
4.7 多類型防護
| 防護分類 |
描述 |
| 畸形報文過濾 |
過濾 frag flood,,smurf,,stream flood,land flood 攻擊,,過濾 IP 畸形包,、TCP 畸形包、UDP 畸形包,。 |
| 網(wǎng)絡(luò)層 DDoS 攻擊防護 |
過濾 UDP Flood,、SYN Flood、TCP Flood,、ICMP Flood,、ACK Flood,、FIN Flood、RST Flood,、DNS/NTP/SSDP 等反射攻擊,、空連接。 |
| 應(yīng)用層 DDoS 攻擊防護 |
過濾 CC 攻擊和 HTTP 慢速攻擊,。 |
- 功能描述
5.1 DDoS/CC攻擊防護 :
擇優(yōu)近源清洗:依托國內(nèi)及海外多個的全球化清洗中心布局,,為單用戶提供T級防御能力,用戶業(yè)務(wù)可基于地域進行擇優(yōu)近源接入清洗中心
支持WAF/CC防護:識別并阻斷SQL注入,、XSS跨站腳本攻擊,、CC攻擊、惡意爬蟲掃描,、CSRF等攻擊,,保護Web服務(wù)安全穩(wěn)定
網(wǎng)絡(luò)型攻擊防護功能:對SYN Flood、ACK Flood,、UDP Flood,、ICMP Flood、DNS Flood,、RST Flood,、Connection Flood、SockStress等類型攻擊進行清洗
Web應(yīng)用攻擊防護功能:支持HTTP Get/Post Flood,、HTTPS Flood,、HTTP慢速攻擊、HTTP重傳攻擊,、HTTP劫持攻擊,、WordPress反射攻擊、RUDY,、LOIC等
5.2 彈性帶寬防護 :
保底帶寬:保底帶寬以較低的費用保證客戶業(yè)務(wù)的基本帶寬安全,,支持20-600G起保底帶寬購買,可隨時進行保底帶寬升級
彈性帶寬:彈性帶寬用于保障在異常突發(fā)流量情況下客戶業(yè)務(wù)的穩(wěn)定可靠,,支持20-600G彈性帶寬選擇,,可定制更大防護能力
5.3 全業(yè)務(wù)支持:
支持多轉(zhuǎn)發(fā)規(guī)則:支持用戶配置50條轉(zhuǎn)發(fā)規(guī)則,每條規(guī)則可為20個源站提供防護,,提高用戶業(yè)務(wù)部署的靈活性
支持流量轉(zhuǎn)發(fā)負(fù)載均衡:支持對用戶流量進行清洗,,并將清洗后的流量輪詢分發(fā)到不同的后端源站服務(wù)器上
支持地理位置過濾:支持基于源IP的地理位置配置過濾條件,阻斷來自設(shè)定的某個國家的源IP訪問(可避免國外惡意攻擊)
5.4 報表管理
支持對攻擊事件,、攻擊流量的統(tǒng)計,,支持自定義時間查看攻擊報表。
- 應(yīng)用場景/領(lǐng)域
DDoS高防服務(wù)的主要使用場景包括:娛樂(游戲),、金融,、政府、電商,、媒資,、教育(在線)等行業(yè)。
娛樂(游戲)行業(yè)是DDoS攻擊的重災(zāi)區(qū),,高防IP能保證游戲的可用性和持續(xù)性,,提高用戶體驗,在商家活動,、節(jié)日游戲等旺季時段提供防護,。
滿足金融行業(yè)的合規(guī)性要求,保證線上交易的實時性,、安全穩(wěn)定性,。
滿足國家政務(wù)云建設(shè)標(biāo)準(zhǔn)的安全需求,為重大會議,、活動,、敏感時期提供安全保障,確保民生服務(wù)正??捎?,維護政府公信力。
為用戶訪問互聯(lián)網(wǎng)提供防護,,使業(yè)務(wù)正常不中斷,,在電商大促等活動時段提供防護功能。
保證企業(yè)站點服務(wù)持續(xù)可用,,避免DDoS攻擊造成經(jīng)濟和企業(yè)形象損失問題,,降低維護費用,節(jié)省安全成本,。
部分應(yīng)用領(lǐng)域如下:
5.1 門戶網(wǎng)站
政府,、大企業(yè)等門戶網(wǎng)站容易成為黑客及惡意競爭者首要攻擊目標(biāo),尤其在重大活動期間,,服務(wù)不可用將對品牌形象帶來重大影響及客戶流失,;
DDoS高防服務(wù)提供4-7層攻擊防御,實時檢測,、攔截惡意流量,,提供99.99%高可用業(yè)務(wù)保障,為政企門戶穩(wěn)定運行保駕護航,。
優(yōu)勢:
精準(zhǔn)可靠的DDoS流量清洗功能,,有效防護各類DDoS攻擊、應(yīng)用層攻擊
- 智能AI流量學(xué)習(xí),,精準(zhǔn)防御,。
基于黑客攻擊機器學(xué)習(xí),、業(yè)務(wù)風(fēng)控大數(shù)據(jù)智能隔離等AI能力,實現(xiàn)實時,、精準(zhǔn)防護,。
5.2 電商平臺
為電商客戶提供百萬級CC防御,應(yīng)對惡意競爭者或黑客利用大量“受控主機”發(fā)出惡意攻擊,,避免電商網(wǎng)站無法訪問導(dǎo)致業(yè)務(wù)中斷,,帶來的經(jīng)濟損失以及客戶流失,保障在促銷活動期間業(yè)務(wù)穩(wěn)定
優(yōu)勢:
百萬QPS級CC防護,,基于黑客攻擊機器學(xué)習(xí),、業(yè)務(wù)風(fēng)控大數(shù)據(jù)智能隔離等AI能力,實現(xiàn)實時防護,,清洗成功率達(dá)99.99%,。
單IP高防護帶寬,保障突發(fā)攻擊時的業(yè)務(wù)穩(wěn)定,。
5.3 游戲,、交互場景
惡意競爭者或黑客利用大量“受控主機”發(fā)起大規(guī)模攻擊,攻擊方式復(fù)雜多變,,使游戲服務(wù)異常,,玩家掉線或卡頓,造成極大的收入損失以及大量的玩家流失,;DDoS高防為游戲用戶提供T級DDoS攻擊防御及針對游戲類業(yè)務(wù)CC攻擊防御,,保障游戲業(yè)務(wù)流暢,日活數(shù)穩(wěn)步增長,。
優(yōu)勢:
提供超大防護帶寬,,滿足游戲客戶的大流量攻擊防御需求。
針對游戲業(yè)務(wù)特征,,定制化CC防御策略,,有效攔截4-7層惡意流量。
分布式清洗節(jié)點部署,,近源接入防護,,保障游戲業(yè)務(wù)的流暢穩(wěn)定運行。
