每一次 618 大促帶來的迅猛流量,對技術人而言都是一次嚴峻考驗。如果在活動期間遭受黑產惡意DDoS攻擊,無疑是雪上加霜。電商的特性是業務常態下通常不會遭受大流量DDoS攻擊,且對延遲敏感,因此只需要在活動期間按需使用DDoS防護。本篇文章由專業的安全團隊爲你分享如何根據 DDoS攻擊情況和業務健康狀況,實時調整防護策略,保障業務穩定性的同時,節省大量安全防護和運營成本。
如果你的網站或應用程序突然出現大量可疑的訪問量,而正常用戶不能訪問或無法連接服務器,那很有可能是遭遇了DDoS 攻擊。DDoS 是互聯網黑色產業鏈中成熟且常見的攻擊手段,攻擊簡單粗暴又有效,溯源困難,犯罪成本低。
我們通過一個例子可以幫你更形象地理解它:
小王開了一間餐廳,面積不大,最多隻能容納 50 位客人同時就餐。但由於味道好菜量足,每天就餐的客人絡繹不絕。火爆的生意引起了這條街上流氓的眼紅,他派了 100 多人來小王的店裏搗亂。這些人看上去和普通顧客沒什麼區別,小王和服務員只能正常提供服務,但這些人只是不停地詢問菜品和價格,並不點菜,霸佔了所有的座位和服務員,使其他客人無法正常就餐,最終導致餐廳倒閉。
這就是典型的 DDoS 攻擊模式,它在短時間內發起大量請求,超過系統可處理範圍,使目標網絡或系統資源耗盡,導致服務暫時中斷或停止,正常用戶無法訪問。
DDoS 全稱 Distributed Denial-of-Service,其中 Denial-of-Service 意爲拒絕服務,它的目的就是使服務不能訪問。Distributed 是分佈式,指的是這種攻擊不是來自一個源頭,有可能來源於成千上萬臺設備。
隨着 IoT 行業發展,物聯網設備增多,在線時間長,漏洞更新週期長,成爲攻擊者漏洞利用的溫牀,物聯網設備逐漸成爲 DDoS 攻擊的主力軍。據統計,2019年國內 DDoS 攻擊次數相比2018年增加了 30.2% ,100Gbps 以上大型攻擊次數逐步攀升,超大規模攻擊持續增長已成爲常態。
一般來說,DDoS的表現形式主要有兩種:
流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法網絡包被虛假的攻擊包淹沒而無法到達主機,包括 UDP洪水攻擊、ICMP洪水攻擊、死亡之Ping、淚滴攻擊等攻擊方式。
資源耗盡攻擊,主要是針對服務器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序佔完而造成無法提供網絡服務,包括 SYN flood、LAND攻擊、CC攻擊、殭屍網絡攻擊、應用程序級洪水攻擊等攻擊方式。
根據行業權威報告顯示,2019年隨着比特幣市場活躍,殭屍網絡不再侷限於單一的 DDoS 攻擊手段,而是選擇與勒索軟件、挖礦木馬合作進行攻擊,部分則轉向分佈式爆破攻擊,攻擊手段的豐富和靈活的切換使得黑灰產能夠進一步降低 DDoS 攻擊成本,提升攻擊效果。
我們雖然無法阻止惡意的攻擊者向服務器發送大量不真實的訪問數據信息,但可以提前做好準備,提高負載處理的能力。比如可以爲帶寬擴容,在短時間內爲網站急劇擴容,提供幾倍或幾十倍的帶寬,頂住大流量的請求。也可以購買IP 高防服務,只需在 DNS 服務商處,將待保護的域名在 CNAME 解析到京東智聯云爲您配置的安全域名上,即可完成接入,有效抵禦 SYN Flood、UDP Flood、ICMP Flood 等各種大流量攻擊。IP 高防總防護能力達到 TB 級,輕鬆抵禦超大流量攻擊。
但某些企業用戶業務常態下未遭受大流量DDoS攻擊,且對延遲敏感,因此用戶希望常態下不使用DDoS防護產品和服務。只在企業大促、展會、產品發佈會、新業務上線等重要活動場景,以及企業融資、併購、上市等關乎企業發展的重大事件期間,極易遭受競爭對手和黑產惡意DDoS攻擊,需要在活動期間按需使用DDoS防護產品和服務。並由專業的安全團隊提供7*24小時安全重保,監控DDoS攻擊情況和業務健康狀況,實時調整防護策略,保障業務穩定性的同時,也可節省大量安全防護和運營成本。
京東智聯雲上某電商客戶,在大促前期收到威脅情報,活動期間會有大量來自海外的 DDoS 攻擊。經過京東智聯雲安全團隊觀察,攻擊流量中接近 4 成來自海外,且 CC 攻擊較多,由於客戶已經接入 IP 高防產品,CC 攻擊被有效防護。攻擊者發現 CC 攻擊未能導致客戶源站拒絕服務後,開始嘗試四層大流量攻擊,攻擊峯值超過客戶 IP 高防保底帶寬,彈性防護生效後開始按天產生費用。
爲降低客戶 DDoS 防護整體投入,京東智聯雲應勢推出 DDoS 定製防護服務(Anti-DDoS Premium Service),爲此類有活動重保需求的用戶提供專業的 DDoS 攻擊防護解決方案,根據用戶應用場景提供定製化的近源清洗、流量壓制、DNS刷新等服務,保障用戶業務持續穩定運行。
在上述案例中,京東智聯雲安全團隊協助客戶開啓流量壓制功能,封禁海外流量,有效降低了攻擊流量進入 IP 高防節點,減小客戶防護壓力,順利完成客戶大促重保防護任務。
京東智聯雲安全團隊可以提供7*24小時遠程支持,實時監控攻擊趨勢和業務健康狀況,保障業務持續穩定運行。全面分析客戶所面臨的安全威脅,針對客戶重大業務活動提供專屬的DDoS防護方案。並根據客戶場景定製服務內容,彈性計費,幫助客戶節省成本。
DDoS 定製防護服務包括近源清洗、流量壓制、DNS刷新等服務,可根據具體客戶場景提供定製服務:
近源清洗
近源清洗是在運營商側骨幹網絡提供大流量的 DDoS 攻擊清洗,清洗靠近攻擊源,能夠有效緩解用戶 IP 高防實例和京東雲上源站的防護壓力,降低被攻擊業務進入黑洞的概率。
流量壓制
流量壓制是在運營商側骨幹網絡實現流量封禁,可根據業務實際被攻擊的流量地域分佈特性,自主選擇封禁區域。例如當用戶發現 DDoS 攻擊中海外流量佔比較高,而業務本身並不對海外提供服務,用戶可自主選擇封禁海外流量,同時也支持用戶隨時解除封禁。
DNS 刷新
域名系統(Domain Name System,簡稱 DNS)是整個互聯網服務的基礎系統之一,負責將人們訪問的互聯網域名轉換爲IP地址,這一轉換的過程叫做“域名解析”, 所以 DNS 又稱“域名解析系統”。
域名系統每個節點都由若干 DNS 服務器組成。這些節點服務器中擁有域名解析配置管理權限的服務器稱爲權威 DNS 服務器。沒有域名解析配置管理權限,但是能同步權威 DNS 服務器數據,利用同步緩存提供解析服務的稱爲緩存 DNS 服務器。權威 DNS 服務器只擁有部分域名的數據,且互相之間沒有直接聯繫。爲能夠提供更全面的域名解析服務,產生了遞歸 DNS 服務器,互聯網中的遞歸 DNS 服務器通常由運營商管理。
DNS 刷新即運營商遞歸 DNS 服務器發起的和權威 DNS 服務器同步過程,同步過程秒級生效,保障用戶業務接入和切換流暢。
1、用戶在京東智聯雲官網線上提交工單或線下諮詢;
2、根據客戶需求和業務場景制定方案:
場景 1:用戶源站不在京東智聯雲上,可購買 IP 高防產品進行常態 DDoS 攻擊防護,當發生大流量攻擊時可按需使用近源清洗服務;
場景 2:用戶在京東智聯雲上部署業務並使用京東智聯雲公網 IP,公網 IP 已默認開啓 DDoS 基礎防護功能,用戶在京東智聯雲控制檯可查看 DDoS 攻擊詳情,當發生大流量攻擊時可按需自主選擇流量壓制服務。
3、根據用戶方案確定服務內容,約定服務週期,線下籤訂合同;
4、京東智聯雲上客戶已默認開啓 DDoS 基礎防護,安全團隊根據客戶方案進行防護策略開通和配置。非京東智聯雲客戶,購買 IP 高防產品後,安全團隊根據客戶方案進行防護策略開通和配置;
5、服務週期內,安全團隊 7*24 小時監控攻擊情況和業務健康狀況,根據客戶需求和攻擊趨勢隨時調整防護策略;
6、服務結束後,爲客戶出具報告。
