DDoS 事件屢見不鮮,缺乏經驗的中小企業、初創業務如何有效地防範 DDoS 攻擊?攻防成本極度不對等之痛又該如何解決?
近期,某款國產手機遊戲上線僅一天就被某黑客組織攻擊敲詐導致暫時關服的消息,受到了網友們的廣泛關注,在引發驚訝和憤怒的同時,也讓“DDoS攻擊”、“網絡安全“等概念再一次出現在人們的視野中。
何爲 DDoS?
DDoS全稱爲分佈式拒絕服務攻擊(Distributed denial of service attack),一般指攻擊者利用網絡上已被攻陷的電腦,在較短的時間內對目標網站發起大量請求,大規模消耗目標網站的主機資源,讓其無法正常服務。其中在線遊戲、互聯網金融等領域是 DDoS 攻擊的高發行業。
常見攻擊類型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻擊。
DDoS 攻擊會對您的業務造成以下危害:
- 當 DDoS 攻擊打滿企業的業務帶寬時就會導致用戶無法正常訪問您的業務,最終造成巨大經濟損失。
- 由於某些行業的惡性競爭,競爭對手可能會通過 DDoS 攻擊手段來打擊您的業務,最終導致您的業務在競爭中失敗。
DDoS 攻擊歷險記
舉個例子。
背景:企業 A 的 test 業務一個月內遭遇多次 DDoS 攻擊,攻擊流量從最初的不到 10 Gbps 到最後攻擊流量高達 300 多 G 。
業務域名:test.com
域名解析的 IP:主 CLB 1.1.1.1 (公網帶寬 1 Gbps)、備份 CLB 1.1.1.2
第一波 DDoS 攻擊屬於試探性的,採用的是 SYN Flood 攻擊,攻擊流量 8 Gbps。假設攻擊目標 IP:1.1.1.1 ,當時業務架構圖如下圖所示:
由於攻擊流量沒有超過贈送的防護流量 10 G,所以本次攻擊對 test 業務沒有任何影響,同時也沒有引起企業 A 的重視。
第二波 DDos 攻擊的流量已經增加到 40 Gbps,由於本次攻擊遠遠超過贈送的 10 G 防護值(也超過 CLB 的公網帶寬 1 Gbps),導致主 IP:1.1.1.1 被封禁後業務 test 無法訪問。
雖然主 CLB 因爲 DDoS 攻擊無法提供服務,但是可以通過 DNSpod 快速切換到備份 VIP:2.2.2.2 實現在 10 分鐘內恢復了 90% 的用戶訪問(前提是準備了備份 VIP 可以切換)。
針對上述場景有兩種解決方案:
- 將重要的業務 VIP 加入到高防包,那麼後續攻擊會通過高防包來清洗攻擊流量;
- 將重要的業務 VIP 綁定到高防 IP,那麼後續攻擊會先經過高防 IP 清洗後回源到實際業務 VIP。
最終公司 A 選擇了最大防護能力爲 300 G 的高防 IP,來規避類似 DDoS 攻擊。
第三波 DDos 攻擊的流量增加到 160 Gbps,由於購買了高防 IP 防護能力高達 300G,所以本次攻擊對業務沒有影響。
雖然本次攻擊防護成功,但是還需要考慮極端情況,如果攻擊流量超過 300G,那麼還是有影響業務訪問的風險。爲了防護超 300G 攻擊流量,建議購買三網防護 IP,理論上可以提供 1 Tbps防護能力。
第四波 DDoS 攻擊的流量超 300 Gbps,導致高防 IP:3.3.3.3 被封禁,但是兜底方案通過 cname 自動切換解析指向三網 IP(分別是電信、聯通、移動的公網 IP)最終恢復業務訪問。
當高防 IP 被封禁後會立即通過 cname 切換解析到三網 IP,整個解析切換過程是秒級的,也就是雖然高防IP被封禁但是恢復時間可以做到秒級。
通過該案例可以看出,攻擊從一開始的試探性,到逐步加大攻擊流量,業務影響時長從分鐘級到秒級。但只要防護到位還是可以減少業務受損時長,甚至可以完全規避業務受損。
但是安全防護能力是需要付出成本的,也有很多企業因爲成本原因選擇更適合自身的防護方案。
中小企業 DDoS 防範之痛?
那麼,面對如洪水猛獸般的 DDoS 攻擊,業務該如何防範呢?
目前,業界主要通過購買防護方案,即高防包來應對攻擊。
值得注意的是,發起 DDoS 攻擊的成本並沒有想象中那麼高!某些平臺上,幾十塊錢就能買到 DDoS 攻擊或”壓力測試“,但反觀企業需要付出的防禦成本,一個只有 20 Gbps 的防護至少也需要約 6000 元,對於中小和小微企業來說,這種攻守成本的極度不對等是 DDoS 防範中的常見問題之一(數據來源於網絡)。
因此,高防方案固然有效,但不一定適合每一個業務。那麼,目前有沒有更加全面、更加通用的解決方案呢?
有!微信雲託管不僅能賦予業務免運維和彈性伸縮的能力,還爲小程序、小遊戲免費提供防 DDoS 攻擊、防網絡劫持等網絡安全能力!未來還會將能力進一步開放給 Web、APP(開發中,具體以實際上線效果爲準)。
使用微信雲託管,業務的公網數據,經過一個簡單的 API 替換,就可以自動轉譯成微信的私有協議,不再提供公網訪問的 HTTPS 入口,而且企業無需改造存量業務,只需要改變前端的接口調用方式,即可將業務跑在微信的安全通道中,最終到達業務的後臺服務。
由於使用非公網的微信私有鏈路,業務可以有效解決以下問題:
● 競爭對手爬取數據
● DDoS攻擊
● 網絡劫持
● 弱網絡訪問不穩定
此外,微信雲託管還具有不限語言框架、自帶彈性擴縮、免域名、免備案、免運維、境外加速等優勢。點此瞭解更多>>
現在體驗微信雲託管,立享首月免費(複製到 PC 端瀏覽器訪問):
https://cloud.weixin.qq.com/cloudrun
本文部分內容取自「雲加社區」公衆號,作者李彬文。