簡介：?本文主要介紹日志審計結(jié)合DDoS防護(hù)保障云上業(yè)務(wù)安全的新實踐。

日志審計攜手DDoS防護(hù)助力云上安全

1 背景介紹

設(shè)想一下，此時你正在高速公路上開車去上班，路上還有其他汽車，總體而言，大家都按照清晰的合法速度平穩(wěn)駕駛，當(dāng)你接近入口坡道的時候，會有更多的車輛加入，然后入口處的車輛越來越多，越來越多，直到所有的交通都慢了下來，最后原來的通行入口拒絕了所有車輛的通過請求。若把通行入口比作服務(wù)器的某些資源，那么這就是現(xiàn)實中的一種DDoS案例。

1.1 DDoS攻擊

那么什么是DDoS呢？分布式拒絕服務(wù)（Distributed Denial of Service，簡稱DDoS) 是指多臺計算機聯(lián)合起來通過惡意程序?qū)σ粋€或多個目標(biāo)發(fā)起攻擊，從而影響計算機的性能或消耗網(wǎng)絡(luò)帶寬，使原目標(biāo)服務(wù)器無法提供正常服務(wù)1。當(dāng)目標(biāo)服務(wù)器受到DDoS攻擊影響后，帶來的不僅僅是巨大的經(jīng)濟(jì)利益損失，甚至很可能造成核心數(shù)據(jù)的泄漏，因此對DDoS進(jìn)行防護(hù)就非常有必要。

圖1 2020.10.10 各個國家遭受DDOS攻擊https://www.digitalattackmap.com/

1.2 日志審計服務(wù)

日志審計服務(wù)是在繼承現(xiàn)有日志服務(wù)所有功能外，還支持多賬戶下實時自動化、中心化采集云產(chǎn)品日志并進(jìn)行審計，以及支持審計所需的存儲、查詢及信息匯總。將DDoS防護(hù)和日志審計結(jié)合起來使用，可以幫助用戶更清晰的掌握實時DDoS防護(hù)情況，也可以對已有防護(hù)事件進(jìn)行回溯和復(fù)盤，從而更好地保障用戶安全體驗。目前日志審計已支持多種云產(chǎn)品，本文主要介紹日志審計結(jié)合DDoS防護(hù)助力云上安全。

2 DDOS防護(hù)

2.1 DDoS攻擊案例

每一臺網(wǎng)絡(luò)中的服務(wù)器都有可能受到DDoS攻擊。根據(jù)F5 labs的2020 DDoS攻擊趨勢報告2，受到最多的攻擊行業(yè)有教育、金融、游戲、技術(shù)、電信等，但這并不意味其他行業(yè)就是絕對安全的，因為發(fā)起DDoS攻擊對于潛在的黑客來說，有非常低的準(zhǔn)入門檻，不僅Youtube上有大量創(chuàng)建僵尸網(wǎng)絡(luò)的教程，DDoS出租服務(wù)也為哪些希望從零發(fā)起攻擊的人提供非常低廉的價格。下面我們來看看迄今為止，五大著名的DDoS攻擊案例3。

• 2017年，谷歌遭受DDoS攻擊。根據(jù)谷歌安全分析小組在2020年10月16日公布的關(guān)于威脅和威脅因子的一篇博客，谷歌安全可靠性團(tuán)隊在2017年檢測到破紀(jì)錄的UDP放大攻擊，其bps峰值達(dá)2.5T。
• 2020年2月，AWS遭受了一次巨大的DDoS攻擊，攻擊持續(xù)3天，帶寬達(dá)到每秒2.3TB，攻擊者利用CLDAP（Connectionless Lightweight Directory Access Protocal）反射技術(shù)，該技術(shù)依賴于易受攻擊的第三方服務(wù)器，并將發(fā)送到受害者IP地址的數(shù)據(jù)量放大56-70倍。
• 2016年Brian Kerbs 和OVH 遭受DDoS攻擊。Brian Kerbs是著名的安全專家，其博客自2012年就經(jīng)受各種攻擊的考驗，然而2016年9月20日的攻擊比他所有曾經(jīng)遭受的攻擊的三倍還要多。攻擊源是Mirai僵尸網(wǎng)絡(luò)控制的約60萬臺的IoT設(shè)備，例如IP相機，家庭路由等等。 Mirai在9月還攻擊了另一個OVH公司，OVH是歐洲最大的網(wǎng)絡(luò)托管服務(wù)供應(yīng)商。
• 2016年 9月30日，Mirai的作者在論壇上發(fā)布了其源代碼，并隨后被復(fù)制成各種各樣的版本，2016年10月21日，主要DNS服務(wù)商Dyn遭到每秒1TB的流量泛洪攻擊，影響了包括Github、HBO、Twitter、Nexflix等知名網(wǎng)站的訪問。
• 2018年2月28日，github遭受了每秒1.35Tb的DDoS攻擊，攻擊時長達(dá)約20分鐘，即使Github早就為DDoS做好的充分準(zhǔn)備，但是他們的DDoS防護(hù)對于此流量的攻擊還是顯得有些力不從心。

2.2 DDoS防護(hù)手段

若要緩解 DDoS 攻擊，關(guān)鍵在于區(qū)分正常流量與攻擊流量。例如，如果因發(fā)布某款新品導(dǎo)致公司網(wǎng)站涌入大批熱情客戶，那么全面切斷流量是錯誤之舉。如果公司從已知惡意用戶處收到突然激增的流量，那么則需要努力對抗攻擊。在現(xiàn)代互聯(lián)網(wǎng)中，DDoS 流量的形式和設(shè)計五花八門，從非欺騙性單源攻擊到復(fù)雜的自適應(yīng)多方位攻擊無所不有。

黑洞策略就是指當(dāng)阿里云公網(wǎng)IP資產(chǎn)受到大流量DDoS攻擊，其峰值帶寬bps超過DDoS的防御能力時，資產(chǎn)IP會進(jìn)入黑洞狀態(tài)，即屏蔽IP所有in的互聯(lián)網(wǎng)流量，黑洞狀態(tài)可以自動解封（當(dāng)達(dá)到默認(rèn)解封時間后），也支持提前手動解封（DDoS原生企業(yè)版以及高防新bgp版）。但這不是理想的解決方案，因為它相當(dāng)于讓攻擊者達(dá)成預(yù)期的目的，使正常流量也無法訪問。

限制服務(wù)器在某個時間段接收的請求數(shù)量也是防護(hù)拒絕服務(wù)攻擊的一種方法。雖然速率限制對于減緩 Web 爬蟲竊取內(nèi)容及防護(hù)暴力破解攻擊很有幫助，但僅靠速率限制可能不足以有效應(yīng)對復(fù)雜的 DDoS 攻擊。然而，在高效 DDoS 防護(hù)策略中，速率限制不失為一種有效手段。

一般而言，攻擊越復(fù)雜，越難以區(qū)分攻擊流量與正常流量，因為攻擊者的目標(biāo)是盡可能混入正常流量，從而盡量減弱緩解成效。流量清洗就是將流量從原始路徑重定向到清洗設(shè)備，對IP成分進(jìn)行異常檢測，并對最終到達(dá)server的流量實施限流，這是高級防護(hù)中一種比較常見的防護(hù)方式。

2.3 DDoS攻擊類型

多方位 的DDoS 攻擊采用多種攻擊手段，以期通過不同的方式擊垮目標(biāo)，分散各個層級的防護(hù)工作注意力。同時針對協(xié)議堆棧的多個層級（如 DNS 放大（針對第 3/4 層）外加 HTTP泛洪（針對第 7 層））發(fā)動攻擊就是多方位 DDoS 攻擊的一個典型例子。下表是幾種典型的DDoS攻擊類型的具體描述4。

表1 DDoS 攻擊類型
DDoS 攻擊分類	攻擊子類	描述
畸形報文	FragFlood、Smurf、StreamFlood、LandFlood、IP畸形，TCP畸形，UDP畸形報文等	向target發(fā)送有缺陷的IP報文，target處理時會崩潰
傳輸層DDoS攻擊	SynFlood、AckFlood、UDPFlood、ICMPFlood、RstFlood	例SynFlood，利用TCP三次握手機制，server收到syn請求后，需要使用一個監(jiān)聽隊列保存連接一段時間，因此通過向sever不斷發(fā)送syn請求，但不響應(yīng)syn+ack報文，從而消耗服務(wù)端的監(jiān)聽隊列。
DNS DDoS攻擊	DNS Request Flood，DNS Response Flood， 虛假源+真實源DNS Query Flood，權(quán)威服務(wù)器攻擊和local 服務(wù)器攻擊等	例DNS Query Flood，多臺傀儡機同時發(fā)起海量域名查詢請求，造成sever無法響應(yīng)
連接型DDoS攻擊	TCP慢速連接攻擊，連接耗盡攻擊，loic，hoic，slowloris，pyloris，xoic等	例slowloris，利用http協(xié)議的特性，http請求以\r\n\r\n 標(biāo)識headers的結(jié)束，如果web服務(wù)端只收到\r\n 則認(rèn)為http headers 還未結(jié)束，將保留該連接并等待后續(xù)請求，這樣造成連接一直沒法關(guān)閉，連接并發(fā)性達(dá)到上限后，即使受到新的http請求也沒法建立連接
Web 應(yīng)用層DDoS攻擊	Http Get Flood，HttpPost Flood， CC	完全模擬用戶請求，類似搜索引擎和爬蟲，消耗后端資源，包括web響應(yīng)時間，數(shù)據(jù)庫服務(wù)，磁盤讀寫等。例如刷票軟件就是CC攻擊

2.4 云上安全方案

針對DDoS攻擊，阿里云建議用戶從以下幾個方面著手降低DDoS的威脅：

表2 云上安全方案概覽
減少暴露，資源隔離	彈性伸縮和災(zāi)備切換	監(jiān)控和告警	商業(yè)安全方案
1.減少服務(wù)端口暴露，配置安全組； 2.使用專有網(wǎng)絡(luò)VPC （virtual private cloud）；	1.定期壓測，評估業(yè)務(wù)吞吐能力， 提供余量帶寬； 2.SLB（Server Load Balancer）降低單服務(wù)器負(fù)載壓力，多點并發(fā)； 3. 彈性伸縮（Auto Scaling）資源管理； 4.優(yōu)化DNS解析；	1.配置告警； 2.云監(jiān)控； 3.應(yīng)急預(yù)案；	1.Web 應(yīng)用防護(hù)墻（WAF）； 2.DDoS 原生防護(hù)； 3.DDoS 高級防護(hù)； 4.游戲盾；

圖2 云上安全方案概覽

2.5 DDoS防護(hù)產(chǎn)品

針對DDoS攻擊，阿里云推出了一些商業(yè)安全方案，比如DDoS防護(hù)就有原生防護(hù)和高級防護(hù)等防護(hù)產(chǎn)品，其中原生防護(hù)(Anti-DDoS origin)又有基礎(chǔ)版和企業(yè)版本。阿里云公網(wǎng)云服務(wù)（ECS，SLB，EIP）默認(rèn)支持DDoS原生防護(hù)基礎(chǔ)版，相較企業(yè)版，基礎(chǔ)版不算“產(chǎn)品”，不具有實例概念，而企業(yè)版主要優(yōu)勢在于可根據(jù)實時機房網(wǎng)絡(luò)整體水位，進(jìn)行全力防護(hù)。DDoS高防產(chǎn)品又分為新BGP版(Anti-DDoS Pro)和國際版(Anti-DDoS Premium)，此外還有游戲盾等產(chǎn)品。日志審計目前最新支持DDoS原生防護(hù)、DDoS高防（新BGP）版，DDoS高防（國際）版，可以在前端控制臺開啟采集授權(quán)。

圖3 DDoS防護(hù)產(chǎn)品類別

DDoS防護(hù)的具體使用方法和最佳實踐請參考官方網(wǎng)站。下面簡單介紹一下原生防護(hù)和高防（新BGP）和高防（國際）三個產(chǎn)品。

2.5.1 原生防護(hù)

DDoS原生防護(hù)通過在阿里云機房出口處建設(shè)DDoS攻擊檢測及清洗系統(tǒng)，直接將防御能力加載到云產(chǎn)品上，以被動清洗為主，主動壓制為輔的方式，實現(xiàn)DDoS攻擊防護(hù)，推薦結(jié)合WAF一起使用，防護(hù)效果更佳。

圖4 DDoS 原生防護(hù)工作原理

2.5.2 高防（新BGP）版

圖5 DDoS 高級防護(hù)架構(gòu)設(shè)計

DDoS高防通過DNS解析和IP直接指向引流到阿里云高防網(wǎng)絡(luò)機房，在高防清洗中心清洗過濾，抵御流量型和資源耗費型攻擊。

圖6 DDoS高防（新BGP）工作原理

BGP（Broder GateWay Protocol）協(xié)議的最主要功能在于控制路由的傳播和選擇最好的路由。高防新BGP版主要適用業(yè)務(wù)服務(wù)器部署在中國內(nèi)地的場景，中國內(nèi)地T極八線BGP帶寬資源，可幫助業(yè)務(wù)抵御超大流量DDoS攻擊。

2.5.3 高防（國際）版

國際版主要適用業(yè)務(wù)服務(wù)部署在中國內(nèi)地以外的地域場景，為接入防護(hù)的業(yè)務(wù)提供不設(shè)上限的DDoS全力防護(hù)。

圖7 DDoS高防（國際）工作原理

Anycast是一種網(wǎng)絡(luò)地址和路由通信方式。訪問Anycast地址的報文可以被路由到該Anycast地址標(biāo)識的一組特定的服務(wù)器主機。DDoS高防（國際）采用Anycast方式將接收到的流量路由到距離最近（路由跳數(shù)最少）且擁有防護(hù)能力的清洗中心。

3 日志審計下的DDoS防護(hù)

日志審計作為阿里云日志服務(wù)SLS（Simple Log Service）下的一款產(chǎn)品，主要是通過日志審計功能對旗下的云產(chǎn)品的進(jìn)行多賬號，跨域聚合，統(tǒng)計，分析，可視化等5。下面將主要介紹日志審計對DDoS三種防護(hù)產(chǎn)品的支持。

3.1 采集DDoS防護(hù)日志

在SLS日志審計頁面開通DDoS 防護(hù) 下的產(chǎn)品采集授權(quán)：

圖8 日志審計新增DDoS防護(hù)產(chǎn)品支持

3.2 查看DDoS防護(hù)日志

開啟授權(quán)賬號下的DDoS防護(hù)的采集后，點擊project進(jìn)入名為ddos_log的logstore，可以對近期的DDoS防護(hù)日志做出全面掌控。假設(shè)用戶同時開通了賬號下對DDoS原生防護(hù)，DDoS高防（新BGP），DDoS高防（國際）日志的采集授權(quán)，可以分別對應(yīng)topic為ddosbgp_access_log, ddoscoo_access_log, ddosdip_access_log進(jìn)行過濾查看。

表3：ddos_log
__topic__	防護(hù)產(chǎn)品
ddos_bgp_access_log	DDoS原生防護(hù)
ddos_coo_access_log	DDoS高防（新BGP）
ddos_dip_access_log	DDoS高防（國際）

3.2.1 DDoS原生日志

圖9 原生防護(hù)的日志

3.2.2 DDoS高防新BGP日志

圖10 高防（新bgp）日志

3.2.3 DDoS高防國際日志

圖11 高防（國際）日志

3.3 豐富的Dashboard

此外，日志審計對于DDoS也支持豐富的儀表盤功能。

3.3.1 原生防護(hù)事件報表及清洗報表

圖12 今日DDoS黑洞事件1次和清洗事件2次

圖13 本月DDoS黑洞事件和清洗事件趨勢列表

此外，原生清洗報表還包括in流量監(jiān)控，in流量分布，in流量協(xié)議類型分布，包檢查，sync cookie，首包檢查，L7filter，L4filter，AntiTDP，AntiUDP等報表展示。

3.3.2 DDoS高防（新BGP）訪問中心與運營中心

高防訪問中心和運營中心包含大量預(yù)設(shè)的模板dashboard，如下圖所示。

圖14 高防新BGP訪問中心1

圖15 高防新BGP訪問中心2

圖16 高防新BGD運營中心

3.3.3 DDoS高防（國際）訪問中心與運營中心

圖17 高防國際訪問中心1

圖18 高防國際訪問中心2

圖19 高防國際運營中心

4 審計+防護(hù)的最佳實踐

接下來，我們將以DDoS高防（新BGP）的防護(hù)例子為大家展示DDoS防護(hù)結(jié)合日志審計的最佳實踐。

4.1 實踐準(zhǔn)備

首先，在個人日志審計中心APP開啟DDoS高防（新BGP）采集授權(quán)，然后在DDoS防護(hù)頁面，將之前準(zhǔn)備好的域名***.com接入，配置好關(guān)聯(lián)高防IP地址，以及具體的防護(hù)設(shè)置。

4.1.1 添加域名接入

圖20 DDoS高防配置域名接入

4.1.2 設(shè)定防護(hù)規(guī)則

在這里我們通過頻率控制的手段，通過編輯具體的防護(hù)規(guī)則，對該域名下某一具體URL進(jìn)行防護(hù)。頻率控制防護(hù)開啟后自動生效，默認(rèn)使用正常防護(hù)模式，幫助網(wǎng)站防御一般的CC攻擊。這里我們假定在檢測時長5秒內(nèi)，允許單個源IP訪問被防護(hù)地址/test URL的次數(shù)為2次，超過次數(shù)將封禁1分鐘。

圖21 通過頻率控制防護(hù)規(guī)則

4.2 實踐對比

4.2.1 訪問對比

對于該域名下具體URL：/test和/welcome ，對/test開啟了防護(hù)規(guī)則設(shè)置，對/welcome沒有任何限制。可以看到雖然/welcome在服務(wù)器中并不存在，但是/test頁面則直接被阻隔在網(wǎng)站之外。

圖22 發(fā)起訪問請求

4.2.2 日志對照

在日志審計DDoS里查看具體的DDoS日志，可以看到訪問/welcome，cc_block字段為0，也就是False，因此可視為正常流量，而訪問/test，cc_block 字段為1，即True，也就是說明DDoS防護(hù)將其視作CC攻擊。

圖23 查看防護(hù)日志

4.2.3 儀表盤觀測

我們將通過審計下面DDoS高防（新BGP）運營中心的儀表盤對剛才的事件進(jìn)行更直觀的復(fù)盤，

首先，我們將觀測時間設(shè)為較短的相對時間5分鐘，此時沒有用戶請求，即無正常流量也無攻擊流量。

圖24 原始運營中心

然后我們訪問該接入域名下的/welcome頁面，此時請求數(shù)為1，可以觀測到客戶網(wǎng)站出現(xiàn)了有效流量。

圖25 有效流量示意

接下來訪問/test頁面，可以看到該訪問被判定為攻擊流量，并沒有流入客戶網(wǎng)站，而是被拿來丟棄與分析，此時的攻擊者概況表格中，出現(xiàn)了攻擊者具體IP源以及攻擊次數(shù)等信息。

圖26 攻擊流量示意

通過上述簡單的實踐過程，相信對大家理解日志審計和DDoS結(jié)合使用的效果有較直觀的感受，若想知道更多的細(xì)節(jié)，可以參考下面的鏈接。

5 參考鏈接

• Denial of service
• 5 most famous ddos attacks
• DDoS attack trends for 2020
• 阿里云DDoS防護(hù)
• 日志審計服務(wù)

原文鏈接

本文為阿里云原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。?

總結(jié)

以上是生活随笔為你收集整理的日志审计携手DDoS防护助力云上安全的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。