阿里云——DDOS

什么是DDOS攻击?

分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接,利用恶意程序对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。

攻击原理

通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

DDoS攻击的危害

DDoS攻击会对您的业务造成以下危害:

  • 重大经济损失

    在遭受DDoS攻击后,您的源站服务器可能无法提供服务,导致用户无法访问您的业务,从而造成巨大的经济损失和品牌损失。

    例如:某电商平台在遭受DDoS攻击时,网站无法正常访问甚至出现短暂的关闭,导致合法用户无法下单购买商品等。

  • 数据泄露

    黑客在对您的服务器进行DDoS攻击时,可能会趁机窃取您业务的核心数据。

  • 恶意竞争

    部分行业存在恶性竞争,竞争对手可能会通过DDoS攻击恶意攻击您的服务,从而在行业竞争中获取优势。

    例如:某游戏业务遭受了DDoS攻击,游戏玩家数量锐减,导致该游戏业务几天内迅速彻底下线。

  • 常见的DDoS攻击类型

    DDoS攻击分类 攻击子类 描述
    畸形报文 畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。 畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。
    传输层DDoS攻击 传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。 以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。
    DNS DDoS攻击 DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。 以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。
    连接型DDoS攻击 连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。 以Slowloris攻击为例,其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后,Web服务即无法接收新的请求。Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接。如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时,Web将无法处理任何新的请求。

    Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束,如果Web服务端只收到\r\n,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。

    Web应用层DDoS攻击 Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。 通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。

    Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。

    由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。

    CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。

  • DDoS高防

    通过DNS解析方式牵引流量到阿里云全球DDoS防护网络,清洗流量型和资源耗尽型DDoS攻击,隐藏被保护的源站服务器。

    Tbps级防护能力
    在全球建设DDoS清洗中心,构建了总带宽超过10Tbps的BGP防护网络

    全协议防护
    支持从网络层/传输层(L3/4)到应用层(L7)DDoS攻击的防护

    源站保护
    通过反向代理接入防护服务,隐藏真实源站服务器地址,将清洗后的干净业务流量回送到阿里云产品或线下机房

    源站减负
    通过接入DDoS高防网络,防护DDoS攻击的同时复用连接,降低后端源站连接负载,提高源站服务效率

  • 阿里云——DDOS_第1张图片

     

    DDoS原生防护

    基于阿里云原生防护网络,不改变源站服务器IP地址,透明防护流量型DDoS攻击

    透明部署
    通过原生BGP网络防护DDoS攻击,无需改变业务架构,不增加网络延迟,一键添加防护

    账号级多IP共享防护
    支持同账号下云资源共享DDoS防护能力,帮助企业快速提升账号整体网络安全防护等级

    基础设施防护
    支持通过BGP代播路由的方式防护阿里云外数据中心网络或阿里云BYOIP(自带IP上云)的整个网段

    IPv6支持
    帮助企业快速搭建IPv6 DDoS安全防护能力

  • 阿里云——DDOS_第2张图片

     

    游戏盾

    通过集成阿里云安全轻量级SDK,彻底解决APP类业务的DDoS/CC攻击问题

    攻击溯源
    基于客户端环境信息的聚类调度算法,秒级响应,精准定位攻击者相关信息并主动隔离

    网络加速
    基于阿里云BGP网络的全球加速能力,配合SDK智能网络调度,实现全球网络优化

    自定义协议防御
    基于端的协议二次封装,兼容所有基于TCP的游戏协议,能够将协议进行加密传输,解决游戏协议安全性问题

    移动端业务安全
    SDK提供客户端运行环境风险识别能力(设备指纹、运行环境监测、流量行为标签等),能够为移动端业务的风险控制提供基础数据支持

    阿里云——DDOS_第3张图片

                                           应用场景

  • 全球DDoS防护

    根据攻击来源就近调度阿里云全球DDoS防护节点

    利用Anycast和GSLB技术,调度阿里云分布全球的DDoS防护节点,在发起攻击源头进行过滤,将防护能力最大化。

    能够解决

    单区域DDoS防护带宽瓶颈

    本地机房带宽无法无限扩容去抵御从全球各地发起的DDoS攻击,有效利用全球DDoS防护网络,提升整体防护能力和效果。

    DDoS攻击导致的跨境网络拥塞

    DDoS攻击通常会导致部分地区的跨境网络拥塞,从而影响正常跨境访问,各区域就近进行DDoS防护,缓解跨境网络链路负载。

    阿里云——DDOS_第4张图片

     

  •                          暖心服务,为你而来

  • 1对1售前咨询、7x24服务、更快速的响应以及更多的免费工单。

你可能感兴趣的:(安全,服务器,网络,阿里云,腾讯云)