衆所周知,DDoS(分布式拒絕服務攻擊)攻擊是目前網際網路上最常見,卻最難以防範的一種攻擊,其基本原理是黑客通過發動成千上萬的殭屍電腦,在短時間内對被攻擊目标發起海量通路,大量占用被攻擊目标的服務資源,使得正常的業務通路無法進行,具有危害大、成本低、防範難等特點。阿裡雲公網産品的一大特點就是有預設DDoS安全防護,包括彈性IP、負載均衡SLB、NAT網關等均有覆寫,今天就以SLB産品為例聊一聊阿裡雲提供的DDoS防護功能。
如上圖所示所有來自Internet的流量都要先經過雲盾再到達負載均衡SLB,雲盾會針對常見的攻擊進行清洗過濾,包括: SYN Flood 、ACK Flood、UDP Flood、ICMP Flood、連接配接攻擊及畸形封包過濾和流量攻擊等。
下文我們就來詳述一下雲盾是如何防範流量攻擊的,這裡有二個概念和三個門檻值和一些其他的相背景知識需要讀者了解:
清洗:當來自Internet的攻擊流量較大或符合某些特定攻擊流量模型特征時,雲盾将會針攻擊流量啟動清洗操作,清洗包括攻擊封包過濾、流量限速、包限速等
BPS清洗門檻值:入方向流量超過了BPS清洗門檻值時,觸發清洗
PPS清洗門檻值:入方向資料包數超過了PPS清洗門檻值時,觸發清洗
黑洞門檻值:入方向流量超過黑洞門檻值時将觸發黑洞
安全信譽分是阿裡雲對使用者的安全信譽做出的評級,曆史攻擊、會員等級、活躍度、安全等級、使用預期等名額綜合給出的一個信用評級,使用者的安全信譽等級越高,使用者則可以擁有更大的免費黑洞門檻值,和更短的黑洞時長(被黑洞後多久可以解除黑洞狀态)
安全信譽解讀
曆史攻擊
由攻擊時長、攻擊峰值、被黑洞次數、黑洞解除時間等因子組成,您所遭受的攻擊時間越短、攻擊峰值越小、被黑洞次數越少、黑洞解除總時長越短,曆史攻擊的信譽就會越高。
會員等級
根據您的曆史累計現金消費(元)來計算會員等級,消費越多會員等級分越高。
活躍度
活躍度指的是您在阿裡雲開展業務活躍的情況,持續活躍的時長越長,計算得出的活躍度越高對應的安全信譽值越高。
安全等級
根據使用者的安全等級,進行信譽評估。
從安全層面,可通過開通DDoS高防IP(網絡安全)、Web應用防火牆(web安全)、安騎士(主機安全)、先知計劃(白帽子衆測)等安全服務來提升安全等級。
使用預期
評估您的阿裡雲産品使用預期,主要根據賬戶的餘額、代金券類次元資訊,進行評估未來在阿裡雲持續開展業務的預期。
了解以上概念後,使用者可能會有如下疑問:
1.正常業務流量會不會被清?
2.清洗和黑洞的門檻值又分别是多少呢?
3.使用者如何知道某個執行個體目前的門檻值是多少呢?
首先回答下第一個問題: 答案是會!看起來很恐怖對不對,我們看看為什麼會這樣。
流量清洗的觸發條件有兩類,一類是流量模型的特征,當特征符合攻擊流量特征時,會觸發清洗;另一類則由流量的大小而決定,因為DDoS攻擊一般流量都非常大,通常都是以G為機關,是以當入流量達到一定門檻值時,不論是否正常業務流量,都會啟動清洗,畢竟有些DDoS攻擊就是通過發起海量的正常業務請求來實作拒絕服務攻擊的,是以一但出現了超預期的大流量來襲時,便會啟動清洗。從另外一方面來講,雲盾不僅用來防攻擊,也用來保證後端系統的穩定。如果正常流量超出了使用者購買的産品規格,那麼雲盾會幫助産品限流避免後端系統出現問題。
遵循如下兩個原則:
1.根據SLB執行個體所購買的帶寬來決定門檻值的高低,即SLB的出方向帶寬,當執行個體的帶寬較高時,各類門檻值較高,同理,當執行個體的帶寬較低時,各類門檻值相應的會變低。
2.根據使用者的安全信譽分來決定黑洞門檻值的高低(注意安全信譽分僅影響黑洞門檻值,不影響清洗門檻值)
計算過程分為兩個步驟:
Step.1.SLB背景會根據使用者購買的帶寬給出能夠滿足執行個體正常工作的門檻值建議值
Step.2.雲盾根據SLB給出的建議值,結合使用者安全信譽分和各地域的資源情況,計算出最終的門檻值
前方高能預警:接下來的内容可能略顯燒腦,非GEEK謹慎閱讀。
Step.1.SLB參考門檻值的計算方法
1.SLB帶寬與bps清洗門檻值之間的關系
2.SLB帶寬與pps清洗門檻值之間的關系
3.SLB帶寬與黑洞bps門檻值之間的關系
可以看到SLB給出的建議值是結合SLB的購買帶寬(出方向帶寬)來決定的,當帶寬比較小時,采用某一個恒定的門檻值,當帶寬超出一定範圍後,SLB給出的建議門檻值時與SLB的帶寬成正比的。
注意:上面提到的SLB的帶寬都是指出方向帶寬,即使用者購買的帶寬,那麼如果使用者購買的是按流量計費的執行個體,出帶寬是多少呢?答案是:執行個體所在地域所支援的帶寬峰值上限,目前國内地域都帶寬上限都是峰值5G,詳見附錄部分的各地域SLB帶寬上限和黑洞資源情況。
Step.2.雲盾結合安全信譽分、地域資源情況和參考值計算最終門檻值
雲盾評估bps和pps門檻值的規則:
1、bps最小1000M,pps最小30萬
2、當SLB傳入的參考門檻值小于上述值時,取上述最小值
3、當SLB傳入的參考值高于上述名額時,取SLB傳入的參考門檻值
雲盾評估黑洞門檻值的規則:
黑洞門檻值根據不同情況有不同的取值邏輯:
1、等于信譽值:有信譽分&&傳入值<=信譽值
2、等于傳入值:有信譽分&&傳入值>信譽值&&傳入值<=區域最大值
3、等于信譽值:有信譽分&&傳入值>信譽值&&信譽值>=區域最大值
4、等于區域最大值:有信譽分&&傳入值>區域最大值&&信譽分<區域最大值
5、等于區域預設值:無信譽分&&傳入值<=區域預設值
6、等于傳入值:無信譽分&&傳入值>區域預設值&&傳入值<=區域最大值
7、等于區域最大值:無信譽分&&傳入值>區域最大值
8、等于區域預設值:其他情況
同樣在DDoS高防IP控制台的基礎防護子菜單下使用者可以檢視到每個執行個體相關的門檻值
注意上圖中展示的清洗門檻值都是執行個體的最大門檻值,使用者可以相應的調小(黑洞門檻值不可調),點選上圖中的檢視詳情,再點選下圖中DDoS防護進階設定,即可以将對應的門檻值調整小,适應各種業務的安全需求
選擇手動設定,就可以調低相應的門檻值了。
| 地域 |SLB可售賣最大帶寬/按流量執行個體帶寬 |預設黑洞值|預設最大黑洞值
| ------------- |:-------------:| :-------------:|-------------:|
|青島|5G|5G|10G|
|杭州|5G|5G|10G|
|北京|5G|2G|10G|
|上海|5G|2G|10G|
|深圳|5G|2G|10G|
|張北|5G|2G|10G|
|香港|2G|500M|5G|
|美東|1G|500M|2G|
|美西|2G|2G|5G|
|日本|1G|500M|1G|
|新加坡|2G|500M|5G|
|悉尼|1G|1G|2G|
|迪拜|500M|500M|800M|
|法蘭克福|1G|500M|2G|
注意:使用者的安全信譽如果較高,安全信譽黑洞門檻值是可以突破上表中的預設最大黑洞值的