阿里云云安全acp認證知識點之DDoS攻擊緩解最佳實踐

DDoS攻擊緩解最佳實踐

分布式拒絕服務攻擊（DDoS攻擊）是一種針對目標系統(tǒng)的惡意網(wǎng)絡攻擊行為，DDoS攻擊經(jīng)常會導致被攻擊者的業(yè)務無法正常訪問，也就是所謂的拒絕服務。

建議阿里云用戶從以下幾個方面著手緩解DDoS攻擊的威脅：

1、縮小暴露面，隔離資源和不相關的業(yè)務，降低被攻擊的風險；具體有：

配置安全組。盡量避免將非業(yè)務必須的服務端口暴露在公網(wǎng)上，從而避免與業(yè)務無關的請求和訪問。通過配置安全組可以有效防止系統(tǒng)被掃描或者意外暴露。

使用專有網(wǎng)絡VPC（Virtual Private Cloud ）。通過專有網(wǎng)絡VPC實現(xiàn)網(wǎng)絡內(nèi)部邏輯隔離，防止來自內(nèi)網(wǎng)傀儡機的攻擊。

2、優(yōu)化業(yè)務架構(gòu)，利用公共云的特性設計彈性伸縮和災備切換的系統(tǒng)；具體有：

科學評估業(yè)務架構(gòu)性能。在業(yè)務部署前期或運營期間，技術團隊應該對業(yè)務架構(gòu)進行壓力測試，以評估現(xiàn)有架構(gòu)的業(yè)務吞吐處理能力，為DDoS防御提供詳細的技術參數(shù)指導信息。

彈性和冗余架構(gòu)。通過負載均衡或異地多中心架構(gòu)避免業(yè)務架構(gòu)中出現(xiàn)單點故障。如果您的業(yè)務在阿里云上，可以靈活地使用負載均衡服務SLB（Server Load Balancer）實現(xiàn)多臺服務器的多點并發(fā)處理業(yè)務訪問，將用戶訪問流量均衡分配到各個服務器上，降低單臺服務器的壓力，提升業(yè)務吞吐處理能力，這樣可以有效緩解一定流量范圍內(nèi)的連接層DDoS攻擊。

部署彈性伸縮。彈性伸縮（Auto Scaling）是根據(jù)用戶的業(yè)務需求和策略，經(jīng)濟地自動調(diào)整彈性計算資源的管理服務。通過部署彈性伸縮，系統(tǒng)可以有效的緩解會話層和應用層攻擊，在遭受攻擊時自動增加服務器，提升處理性能，避免業(yè)務遭受嚴重影響。

優(yōu)化DNS解析。通過智能解析的方式優(yōu)化DNS解析，可以有效避免DNS流量攻擊產(chǎn)生的風險。同時，建議您將業(yè)務托管至多家DNS服務商，并可以從以下方面考慮優(yōu)化DNS解析：

屏蔽未經(jīng)請求發(fā)送的DNS響應信息；

丟棄快速重傳數(shù)據(jù)包；

啟用TTL；

丟棄未知來源的DNS查詢請求和響應數(shù)據(jù)；

丟棄未經(jīng)請求或突發(fā)的DNS請求；

啟動DNS客戶端驗證；

對響應信息進行緩存處理；

使用ACL的權(quán)限；

利用ACL、BCP38及IP信譽功能；

提供余量帶寬。通過服務器性能測試，評估正常業(yè)務環(huán)境下所能承受的帶寬和請求數(shù)。在購買帶寬時確保有一定的余量帶寬，可以避免遭受攻擊時帶寬大于正常使用量而影響正常用戶的情況。

3、服務器安全加固，提升服務器自身的連接數(shù)等性能。對服務器上的操作系統(tǒng)、軟件服務進行安全加固，減少可被攻擊的點，增大攻擊方的攻擊成本：

確保服務器的系統(tǒng)文件是最新的版本，并及時更新系統(tǒng)補丁。

對所有服務器主機進行檢查，清楚訪問者的來源。

過濾不必要的服務和端口。例如，對于WWW服務器，只開放80端口，將其他所有端口關閉，或在防火墻上設置阻止策略。

限制同時打開的SYN半連接數(shù)目，縮短SYN半連接的timeout時間，限制SYN、ICMP流量。

仔細檢查網(wǎng)絡設備和服務器系統(tǒng)的日志。一旦出現(xiàn)漏洞或是時間變更，則說明服務器可能遭到了攻擊。

限制在防火墻外進行網(wǎng)絡文件共享。降低黑客截取系統(tǒng)文件的機會，若黑客以特洛伊木馬替換它，文件傳輸功能將會陷入癱瘓。

充分利用網(wǎng)絡設備保護網(wǎng)絡資源。在配置路由器時應考慮針對流控、包過濾、半連接超時、垃圾包丟棄、來源偽造的數(shù)據(jù)包丟棄、SYN閾值、禁用ICMP和UDP廣播的策略配置。

通過iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接，限制疑似惡意IP的連接、傳輸速率。

4、做好業(yè)務監(jiān)控和應急響應。

關注基礎DDoS防護監(jiān)控。當您的業(yè)務遭受DDoS攻擊時，基礎DDoS默認會通過短信和郵件方式發(fā)出告警信息，針對大流量攻擊基礎DDoS防護也支持電話報警，建議您在接受到告警的第一時間進行應急處理。

云監(jiān)控。云監(jiān)控服務可用于收集、獲取阿里云資源的監(jiān)控指標或用戶自定義的監(jiān)控指標，探測服務的可用性，并支持針對指標設置警報。

建立應急響應預案。根據(jù)當前的技術業(yè)務架構(gòu)和人員，提前準備應急技術預案，必要時可以提前進行技術演練，以檢驗應急響應預案的合理性。

5、選擇合適的商業(yè)安全方案。阿里云既提供了免費的基礎DDoS防護，也提供了商業(yè)安全方案。

Web應用防火墻（WAF）。針對網(wǎng)站類應用，例如常見的HTTP Flood攻擊，可以使用WAF可以提供針對連接層攻擊、會話層攻擊和應用層攻擊進行有效防御。

DDoS原生防護。DDoS原生防護為云產(chǎn)品IP提供針對DDoS攻擊的共享全力防護能力，即時生效。

DDoS高級防護。針對大流量DDoS攻擊，建議使用阿里云DDoS高防服務。

游戲盾。游戲盾是針對游戲行業(yè)常見的DDoS攻擊、CC攻擊推出的行業(yè)解決方案。相比于高防IP服務，游戲盾解決方案的針對性更強，針對游戲行業(yè)的攻擊防御效果更好、成本更低。

應當避免的事項：

DDoS攻擊是業(yè)內(nèi)公認的行業(yè)公敵，DDoS攻擊不僅影響被攻擊者，同時也會對服務商網(wǎng)絡的穩(wěn)定性造成影響，從而對處于同一網(wǎng)絡下的其他用戶業(yè)務也會造成損失。

計算機網(wǎng)絡是一個共享環(huán)境，需要多方共同維護穩(wěn)定，部分行為可能會給整體網(wǎng)絡和其他租戶的網(wǎng)絡帶來影響，需要您注意：

避免使用阿里云產(chǎn)品機制搭建DDoS防護平臺。

避免釋放處于黑洞狀態(tài)的實例。

避免為處于黑洞狀態(tài)的服務器連續(xù)更換、解綁、增加SLB IP、彈性公網(wǎng)IP、NAT網(wǎng)關等IP類產(chǎn)品。

避免通過搭建IP池進行防御，避免通過分攤攻擊流量到大量IP上進行防御。

避免利用阿里云非網(wǎng)絡安全防御產(chǎn)品（包括但不限于CDN、OSS），前置自身有攻擊的業(yè)務。

避免使用多個賬號的方式繞過上述規(guī)則。

點擊下方圖片可購買阿里云云安全acp認證網(wǎng)絡課程，個性化服務，為你的升職加薪之路助力！?。?/span>