本节主要写中小企业如何应对DDOS攻击:
一.DDOS攻击背景和危害
中小企业在发展过程中,很容易遭受DDOS攻击,主要有以下几种原因:
竞争对手红眼,比如在你做活动的时候攻击你
地下黑产要勒索你,要求收保护费
DDOS攻击的成本低,但非常暴力和有效,往往给企业带来长时间的业务中断。
如果你防不住,那可能会经常被搞,如果你防护了几次,那一般情况下攻击者也会失去兴趣(当然不排除发起更高级的攻击的可能)。
二.中小企业防护DDOS面临的困境
首先中小企业的互联网出口带宽一般都不大,一般小于1G,当被攻击的流量到达一定程度后,不管你的服务是云上还是在托管机房,都会把你的IP封禁(一般24小时),以免影响托管在机房里的其他用户。
可能你会想要买个抗DDOS设备来防护,如果在你的网络入口部署抗DDOS硬件设备,没有多大用,因为流量还没到你的设备上,你的出口已经堵住了,因此抗DDOS设备能发挥作用的前提是你有足够的冗余带宽用于防护,这对大多数中小企业来讲做不到。
所以自主防护这条路是走不通了,要借助第三方抗DDOS方案。
三.选择抗DDOS供应商
如果你的服务器是托管在机房里,而机房有提供抗DDOS服务,可以考虑选择,但往往机房供应商清洗能力有限,如果攻击量非常大的时候,还需要借助上一级运营商的防护;
其他情况下,建议选择云抗DDOS的方案,也就是将DNS解析切换到高防IP,清洗后再回源的方案。
下面主要介绍云抗DDOS的技术方案。
四.抗DDOS防护技术方案
下图是切到抗DDOS中心后的访问示意图:
攻击流量被引导到高防中心后,经过清洗后回源到网站上,实现了抗DDOS目的,可以保障用户的正常访问。
这里需要注意的是:
1.用于抗DDOS的源站IP一定要隐藏好,也就是不可被猜测到,所以建议预留线路用于抗DDOS(比如原来是BGP线路,但可以预留电信线路用于抗D)
2.把主站(易受攻击)的IP和其他业务服务IP区分开,以免扩大攻击影响面,另外IP切换的时候也方便
3.经过抗DDOS中心后,对网站请求的源IP变成抗D供应商的IP段,如果有做防火墙或Nginx上有对访问频率限制的话,应该对这些IP段做白名单,允许访问
4.事先将所有配置都准备好,当发生攻击时,只要将DNS的解析切换到高防IP上即可,这样可以大大降低业务中断时间。
五.演练的必要性
购买抗DDOS服务后,建议定期进行演练,把真实的服务切换到抗DDOS中心测试下,不一定要测试攻击,但至少要测试服务可用性和访问延时。
这样可以保证整个方案是可行的,否则等到那天攻击来临后,手忙脚乱,甚至心里没底都不敢切换过去。
六.什么时候要切到抗DDOS中心
1.如果是有重要活动要求服务不能中断,那建议直接切换到抗DDOS中心。(因为即使第一时间发现攻击,DNS切换过去到解析完全生效也需要15分钟左右时间)
2.如果是平时,不建议直接切换到抗DDOS中心,因为多了一层转发,访问延时会增加,可能会影响用户访问体验(当然现在有抗DDOS供应商提供了BGP高防方案,访问延迟低,可以兼顾到不同运营商的用户)。
七.抗CC攻击方案
此外,DDOS分为2种,一种是耗尽带宽型的,一种是耗尽服务型的(一般叫CC攻击)。从攻击频率来看,DDOS攻击成本相对高所以频率会低点,这种情况下,只有依靠抗DDOS中心来防护。
如果是CC攻击,由于攻击成本非常低,可能会非常频繁,我们公司2016年大大小小遭受10多次攻击,简直不堪其扰,这时候你要分析是不是遭受CC攻击,加上响应时间,这时候即使切换,也会造成至少30分钟的服务不可用时间。
有没有更好的方法呢?
从我们的经验看,一般CC攻击有2种常用手段:
从防护上来看,建议:
1.在Nginx上做限流策略,比如www.abc.com总请求量到一定程度后则丢弃新的请求,这样可以确保后台服务受到保护,为下一步处理争取时间;
2.分析攻击特点,用Nginx封禁,可以封禁攻击者的IP(一般封禁IP段),也可以封禁攻击者的UA;
3.如果实在不行,再切到抗DDOS中心上。
以上的策略目前在我们公司比较有效,可以大大降低服务受影响时间。
