- 方案概述
坤通高防云服務(wù)器主機,支持全業(yè)務(wù)抗DDoS防護,,集成了業(yè)界領(lǐng)先的DDoS防御能力和專業(yè)化的主機防入侵功能,,解決云主機面臨的流量攻擊、病毒勒索,、惡意挖礦,、暴力破解、漏洞攻擊等安全問題,,為用戶提供獨享防護資源,,以應(yīng)對大規(guī)模的攻擊事件,;提供數(shù)據(jù)中心和私有云多活部署,GSLB,業(yè)務(wù)流自動切換,,無論應(yīng)用部署在哪里,,都能夠?qū)崿F(xiàn)統(tǒng)一的安全策略(單點登錄(SSO),應(yīng)用防火墻(WAF)),。
坤通高防服務(wù)是針對互聯(lián)網(wǎng)服務(wù)器在遭受大流量的DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下的增值防護服務(wù),。該服務(wù)可為客戶提供DDoS、CC等攻擊的防護能力,,可防護SYN Flood,、ACK Flood、UDP Flood,、ICMP Flood、連接耗盡攻擊,、DNS Request/Response Flood,、HTTP Get/Post Flood等3到7層的攻擊。
DDoS高防服務(wù)采用分層防御,、分布式清洗,,通過精細化多層過濾防御技術(shù),可以有效檢測和過濾攻擊流量,。網(wǎng)絡(luò)拓撲示意圖如下:
圖1. 網(wǎng)絡(luò)拓撲示意圖
對于系統(tǒng)和數(shù)據(jù)提供全面的防護,,支持持續(xù)數(shù)據(jù)保護(CDP),最強大之處在于數(shù)據(jù)保護無處不在,從底層的操作系統(tǒng)到數(shù)據(jù)庫,、應(yīng)用系統(tǒng),,支持vmware/hyper-v/openstack/KVM等虛擬化技術(shù)云平臺,提供全生態(tài)的高防云主機,。
- DDos攻擊主要方式
分布式拒絕服務(wù)(Distributed Denial of Service,,簡稱DDoS)指借助于客戶機/服務(wù)器模式,將多個計算機聯(lián)合起來作為攻擊平臺,,對一個或多個目標發(fā)動DDoS攻擊,,從而成倍地提高拒絕服務(wù)攻擊的威力。
通常,,攻擊者使用一個非法賬號將DDoS主控程序安裝在一臺計算機上,,并在網(wǎng)絡(luò)上的許多計算機上安裝了代理程序。在所設(shè)定的時間,,主控程序?qū)⑴c大量代理程序進行通訊,,代理程序收到指令時就發(fā)動攻擊。利用客戶機/服務(wù)器模式,,主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行,。
常見的DDoS攻擊類型包括畸形報文,、傳輸層DDoS攻擊、DNS DDoS攻擊,、連接型DDoS攻擊,、Web應(yīng)用層DDoS攻擊。
畸形報文攻擊指通過向目標系統(tǒng)發(fā)送有缺陷的IP報文,,使得目標系統(tǒng)在處理這樣的報文時出現(xiàn)崩潰,,從而達到拒絕服務(wù)的攻擊目的。
畸形報文主要包括以下類型:Frag Flood,、Smurf,、Stream Flood、Land Flood,、IP畸形報文,、TCP畸形報文、UDP畸形報文,。
傳輸層DDoS攻擊主要是指Syn Flood,、Ack Flood、UDP Flood,、ICMP Flood,、RstFlood等攻擊。
以Syn Flood攻擊為例,,它利用了TCP協(xié)議的三次握手機制,,當服務(wù)端接收到一個Syn請求時,服務(wù)端必須使用一個監(jiān)聽隊列將該連接保存一定時間,。因此,,通過向服務(wù)端不停發(fā)送Syn請求,但不響應(yīng)Syn+Ack報文,,從而消耗服務(wù)端的資源,。當監(jiān)聽隊列被占滿時,服務(wù)端將無法響應(yīng)正常用戶的請求,,達到拒絕服務(wù)攻擊的目的,。
DNS DDoS攻擊主要是指DNS Request Flood、DNS Response Flood,、虛假源+真實源DNS Query Flood,、權(quán)威服務(wù)器攻擊和Local服務(wù)器攻擊。
以DNS Query Flood攻擊為例,,其本質(zhì)上執(zhí)行的是真實的Query請求,,屬于正常業(yè)務(wù)行為。但如果多臺傀儡機同時發(fā)起海量的域名查詢請求,,服務(wù)端無法響應(yīng)正常的Query請求,,從而導(dǎo)致拒絕服務(wù),。
連接型DDoS攻擊主要是指TCP慢速連接攻擊、連接耗盡攻擊,、Loic,、Hoic、Slowloris,、 Pyloris,、Xoic等慢速攻擊。
以Slowloris攻擊為例,,其攻擊目標是Web服務(wù)器的并發(fā)上限,,當Web服務(wù)器的連接并發(fā)數(shù)達到上限后,Web服務(wù)即無法接受新的請求,。具體來說,,Web服務(wù)接收到新的HTTP請求時,建立新的連接來處理請求,,并在處理完成后關(guān)閉這個連接,;如果該連接一直處于連接狀態(tài),收到新的HTTP請求時則需要建立新的連接進行處理,;而當所有連接都處于連接狀態(tài)時,Web將無法處理任何新的請求,。
Slowloris攻擊利用HTTP協(xié)議的特性來達到攻擊目的,。HTTP請求以rnrn標識Headers的結(jié)束,如果Web服務(wù)端只收到rn,,則認為HTTP Headers部分沒有結(jié)束,,將保留該連接并等待后續(xù)的請求內(nèi)容。
Web應(yīng)用層攻擊主要是指HTTP Get Flood,、HTTP Post Flood,、CC等攻擊。
通常應(yīng)用層攻擊完全模擬用戶請求,,類似于各種搜索引擎和爬蟲一樣,,這些攻擊行為和正常的業(yè)務(wù)并沒有嚴格的邊界,難以辨別,。
Web服務(wù)中一些資源消耗較大的事務(wù)和頁面,。例如,Web應(yīng)用中的分頁和分表,,如果控制頁面的參數(shù)過大,,頻繁的翻頁將會占用較多的Web服務(wù)資源。尤其在高并發(fā)頻繁調(diào)用的情況下,,類似這樣的事務(wù)就成了早期CC攻擊的目標,。
由于現(xiàn)在的攻擊大都是混合型的,,因此模擬用戶行為的頻繁操作都可以被認為是CC攻擊。例如,,各種刷票軟件對網(wǎng)站的訪問,,從某種程度上來說就是CC攻擊。
CC攻擊瞄準的是Web應(yīng)用的后端業(yè)務(wù),,除了導(dǎo)致拒絕服務(wù)外,,還會直接影響Web應(yīng)用的功能和性能,包括Web響應(yīng)時間,、數(shù)據(jù)庫服務(wù),、磁盤讀寫等。
坤通科技作為行業(yè)先行者,,坤通云主機免費為用戶提供最高5G的默認D防護能力,,并推出了安全信譽防護聯(lián)盟,將基于安全信譽分進一步提升DDoS防護能力,,用戶最高可獲得更高的DDoS防護流量,。
- 總體方案架構(gòu)
架構(gòu)能解決(包括但不限于):
- 突發(fā)大流量DDoS、CC攻擊
- 病毒勒索,、木馬攻擊,、惡意挖礦
- 暴力破解,惡意掃描和爬蟲行為
高防是企業(yè)重要業(yè)務(wù)連續(xù)性的有力保障,,用戶可以通過修改DNS解析或?qū)ν夥?wù)地址為高防IP,,將惡意攻擊流量引流到高防IP清洗,保護對外IP地址不被(無法訪問),,確保重要業(yè)務(wù)不被攻擊中斷,。可服務(wù)于私有云,、公有云及IDC的互聯(lián)網(wǎng)主機,。
未接入高防IP:
未接入高防IP時,源站直接對互聯(lián)網(wǎng)暴露,,一旦發(fā)生DDoS攻擊,,很容易導(dǎo)致源站癱瘓
圖2. 未接入高防IP
接入高防IP后:
使用高防服務(wù)后,把域名解析到高防IP(Web業(yè)務(wù)把域名解析指向高防IP,,非Web業(yè)務(wù)把業(yè)務(wù)IP替換成高防IP),,接入高防IP后,所有訪問經(jīng)過高防IP過濾,。
圖3. 接入高防IP
DDoS高防服務(wù)通過高防IP代理源站IP對外提供服務(wù),,將所有的公網(wǎng)流量都引流至高防IP,進而隱藏源站,避免源站(用戶業(yè)務(wù))遭受大流量DDoS攻擊,。DDoS高防引流和轉(zhuǎn)發(fā)原理示意圖如下:
圖4. DDoS高防引流和轉(zhuǎn)發(fā)
客戶訪問源站(用戶業(yè)務(wù))的客戶,,源站服務(wù)器所使用的公網(wǎng)IP,也是被防護的IP地址,,應(yīng)避免對外暴露(泄露),。使用高防服務(wù)后,IP被隱藏,,與源站IP相對應(yīng),,用于代替源站IP來面向客戶提供服務(wù),使源站IP不直接暴露出去,。
回源IP是高防機房代替客戶去和源站服務(wù)器通信的若干個IP地址(高防機房會將客戶的IP隨機轉(zhuǎn)換成某個回源IP,,并由這個回源IP代替客戶IP去和源站服務(wù)器通信)。
圖5. 攻擊及清洗
圖6. 高防服務(wù)原理簡介
圖7. 防D架構(gòu)設(shè)計
圖8. 防D云平臺設(shè)計
圖9. 數(shù)據(jù)保護技術(shù)
- 平臺特點
4.1 全方位防護
網(wǎng)絡(luò)七層+用戶/終端全面防護,,全代理架構(gòu),,3-7層的業(yè)務(wù)可視化,對業(yè)務(wù)進行控制,,防護情況快速可見,。業(yè)內(nèi)領(lǐng)先的AI云查殺引擎、海量惡意樣本庫和DDoS防護資源,、先進的檢測和防御算法,、高可用的產(chǎn)品架構(gòu)。與普通的IDC(Integrated Data Center)機房或服務(wù)器廠商相比,,坤通提供的高仿云服務(wù)器具有高可用性,、安全性和彈性的優(yōu)勢。
坤通高仿云服務(wù)器通過了多種國際安全標準認證,,包括ISO27001、MTCS等,。安全合規(guī)性對于用戶數(shù)據(jù)的私密性,、用戶信息的私密性以及用戶隱私的保護力度都有非常嚴格的要求。
另外在網(wǎng)絡(luò)建設(shè)方面,,推薦您使用專有網(wǎng)絡(luò)VPC,。專有網(wǎng)絡(luò)提供了穩(wěn)定、安全,、快速交付,、自主可控的網(wǎng)絡(luò)環(huán)境。對于傳統(tǒng)行業(yè)以及未接觸到云計算的行業(yè)和企業(yè)而言,,借助專有網(wǎng)絡(luò)混合云的能力和混合云的架構(gòu),,將享受云計算所帶來的技術(shù)紅利。
4.2 彈性防護
防護閥值支持動態(tài)調(diào)整,,可隨時根據(jù)業(yè)務(wù)情況調(diào)整防護級別,,整個過程業(yè)務(wù)無中斷,,保障業(yè)務(wù)訪問持續(xù)性。
云計算最大的優(yōu)勢在于彈性與靈活性,。坤通科技擁有在數(shù)分鐘內(nèi)創(chuàng)建出一家中型互聯(lián)網(wǎng)公司所需要的IT資源的能力,,保證了大部分企業(yè)在云上所構(gòu)建的業(yè)務(wù)都能夠承受巨大的業(yè)務(wù)量壓力。
坤通高仿云服務(wù)器的彈性體現(xiàn)在計算的彈性,、存儲的彈性,、網(wǎng)絡(luò)的彈性以及您對于業(yè)務(wù)架構(gòu)重新規(guī)劃的彈性。您可以使用任意方式去組合業(yè)務(wù),,阿里云都能夠滿足您的需求,。
4.3 快速檢測威脅
精準識別秒級防護、支持外部源站,、大流量攻擊防護,、多協(xié)議支持、安全省心快速進入,、按需購買動態(tài)調(diào)整,、專業(yè)支持快速響應(yīng)?;诤灻蛻?yīng)用規(guī)則,,快速檢測4種常見攻擊類型,當對業(yè)務(wù)了解更深的專業(yè)人士,,甚至可以減少未知的攻擊類型的攻擊,,快速的決策,低誤報率,。采用業(yè)界領(lǐng)先的檢測及防護技術(shù),,可檢測并防護HTTP、TCP,、UDP等多種協(xié)議,。
4.4 啟發(fā)式流量分析
善于分辨“正常”流量和“惡意”流量 ,對于超出基線的流量,,進行應(yīng)用分析,,快速抵擋多種途徑的DDoS攻擊。自動識別客戶的資產(chǎn)信息,,統(tǒng)一可視化管理,,實時識別、分析,、預(yù)警安全威脅,,幫助客戶實時掌握資產(chǎn)風險狀況。
4.5 源端隱藏技術(shù)
對主機的源端進行隱藏和替換,使用高防安全點對外發(fā)布應(yīng)用,,使攻擊流量無法直達源站,,增加源站安全性。
4.6 應(yīng)用場景豐富
應(yīng)對各種復(fù)雜和多類型的安全威脅攻擊,,防護大流量的攻擊,、病毒勒索、惡意挖礦,、及時預(yù)警現(xiàn)網(wǎng)0Day漏洞,,結(jié)合安全攻防和實戰(zhàn)經(jīng)驗,提供全方位的業(yè)務(wù)接入支持,,及時響應(yīng)現(xiàn)網(wǎng)安全漏洞,,修復(fù)閉環(huán)。在抵御大規(guī)模的DDoS攻擊,、防止病毒勒索和惡意挖礦,、智能化的威脅風險掃描、滿足等保合規(guī)的安全要求等應(yīng)用場景提供防護功能,。
4.7 多類型防護
| 防護分類 |
描述 |
| 畸形報文過濾 |
過濾 frag flood,,smurf,stream flood,,land flood 攻擊,,過濾 IP 畸形包、TCP 畸形包,、UDP 畸形包,。 |
| 網(wǎng)絡(luò)層 DDoS 攻擊防護 |
過濾 UDP Flood、SYN Flood,、TCP Flood,、ICMP Flood、ACK Flood,、FIN Flood,、RST Flood、DNS/NTP/SSDP 等反射攻擊,、空連接。 |
| 應(yīng)用層 DDoS 攻擊防護 |
過濾 CC 攻擊和 HTTP 慢速攻擊,。 |
- 功能描述
5.1 DDoS/CC攻擊防護 :
擇優(yōu)近源清洗:依托國內(nèi)及海外多個的全球化清洗中心布局,,為單用戶提供T級防御能力,用戶業(yè)務(wù)可基于地域進行擇優(yōu)近源接入清洗中心
支持WAF/CC防護:識別并阻斷SQL注入,、XSS跨站腳本攻擊,、CC攻擊、惡意爬蟲掃描、CSRF等攻擊,,保護Web服務(wù)安全穩(wěn)定
網(wǎng)絡(luò)型攻擊防護功能:對SYN Flood,、ACK Flood、UDP Flood,、ICMP Flood,、DNS Flood、RST Flood,、Connection Flood,、SockStress等類型攻擊進行清洗
Web應(yīng)用攻擊防護功能:支持HTTP Get/Post Flood、HTTPS Flood,、HTTP慢速攻擊,、HTTP重傳攻擊、HTTP劫持攻擊,、WordPress反射攻擊,、RUDY、LOIC等
5.2 彈性帶寬防護 :
保底帶寬:保底帶寬以較低的費用保證客戶業(yè)務(wù)的基本帶寬安全,,支持20-600G起保底帶寬購買,,可隨時進行保底帶寬升級
彈性帶寬:彈性帶寬用于保障在異常突發(fā)流量情況下客戶業(yè)務(wù)的穩(wěn)定可靠,支持20-600G彈性帶寬選擇,,可定制更大防護能力
5.3 全業(yè)務(wù)支持:
支持多轉(zhuǎn)發(fā)規(guī)則:支持用戶配置50條轉(zhuǎn)發(fā)規(guī)則,,每條規(guī)則可為20個源站提供防護,提高用戶業(yè)務(wù)部署的靈活性
支持流量轉(zhuǎn)發(fā)負載均衡:支持對用戶流量進行清洗,,并將清洗后的流量輪詢分發(fā)到不同的后端源站服務(wù)器上
支持地理位置過濾:支持基于源IP的地理位置配置過濾條件,,阻斷來自設(shè)定的某個國家的源IP訪問(可避免國外惡意攻擊)
5.4 報表管理
支持對攻擊事件、攻擊流量的統(tǒng)計,,支持自定義時間查看攻擊報表,。
- 應(yīng)用場景/領(lǐng)域
DDoS高防服務(wù)的主要使用場景包括:娛樂(游戲)、金融,、政府,、電商、媒資,、教育(在線)等行業(yè),。
娛樂(游戲)行業(yè)是DDoS攻擊的重災(zāi)區(qū),高防IP能保證游戲的可用性和持續(xù)性,,提高用戶體驗,,在商家活動、節(jié)日游戲等旺季時段提供防護,。
滿足金融行業(yè)的合規(guī)性要求,,保證線上交易的實時性,、安全穩(wěn)定性。
滿足國家政務(wù)云建設(shè)標準的安全需求,,為重大會議,、活動、敏感時期提供安全保障,,確保民生服務(wù)正??捎茫S護政府公信力,。
為用戶訪問互聯(lián)網(wǎng)提供防護,,使業(yè)務(wù)正常不中斷,在電商大促等活動時段提供防護功能,。
保證企業(yè)站點服務(wù)持續(xù)可用,,避免DDoS攻擊造成經(jīng)濟和企業(yè)形象損失問題,降低維護費用,,節(jié)省安全成本,。
部分應(yīng)用領(lǐng)域如下:
5.1 門戶網(wǎng)站
政府、大企業(yè)等門戶網(wǎng)站容易成為黑客及惡意競爭者首要攻擊目標,,尤其在重大活動期間,,服務(wù)不可用將對品牌形象帶來重大影響及客戶流失;
DDoS高防服務(wù)提供4-7層攻擊防御,,實時檢測,、攔截惡意流量,提供99.99%高可用業(yè)務(wù)保障,,為政企門戶穩(wěn)定運行保駕護航,。
優(yōu)勢:
精準可靠的DDoS流量清洗功能,有效防護各類DDoS攻擊,、應(yīng)用層攻擊
基于黑客攻擊機器學(xué)習,、業(yè)務(wù)風控大數(shù)據(jù)智能隔離等AI能力,,實現(xiàn)實時、精準防護,。
5.2 電商平臺
為電商客戶提供百萬級CC防御,,應(yīng)對惡意競爭者或黑客利用大量“受控主機”發(fā)出惡意攻擊,避免電商網(wǎng)站無法訪問導(dǎo)致業(yè)務(wù)中斷,,帶來的經(jīng)濟損失以及客戶流失,,保障在促銷活動期間業(yè)務(wù)穩(wěn)定
優(yōu)勢:
百萬QPS級CC防護,基于黑客攻擊機器學(xué)習,、業(yè)務(wù)風控大數(shù)據(jù)智能隔離等AI能力,,實現(xiàn)實時防護,清洗成功率達99.99%,。
單IP高防護帶寬,,保障突發(fā)攻擊時的業(yè)務(wù)穩(wěn)定。
5.3 游戲,、交互場景
惡意競爭者或黑客利用大量“受控主機”發(fā)起大規(guī)模攻擊,,攻擊方式復(fù)雜多變,使游戲服務(wù)異常,,玩家掉線或卡頓,,造成極大的收入損失以及大量的玩家流失;DDoS高防為游戲用戶提供T級DDoS攻擊防御及針對游戲類業(yè)務(wù)CC攻擊防御,,保障游戲業(yè)務(wù)流暢,,日活數(shù)穩(wěn)步增長。
優(yōu)勢:
提供超大防護帶寬,,滿足游戲客戶的大流量攻擊防御需求,。
針對游戲業(yè)務(wù)特征,定制化CC防御策略,,有效攔截4-7層惡意流量,。
分布式清洗節(jié)點部署,近源接入防護,,保障游戲業(yè)務(wù)的流暢穩(wěn)定運行,。
