【最佳实践】DDoS防护解决方案

2020-10-25 19:35:12 浏览数 (2)

随着技术和黑色产业链的发展,DDoS攻击的成本越来越低,同时攻击多个环节逐渐自动化,无需人工参与。同时随着各行各业信息互联网话,DDoS的攻击面也越来越多,因此任何需要通过网络提供服务业务系统,都应该考虑对DDoS攻击防护安全考虑。虽然DDoS防护会增加相应的运营成本,攻击期间业务中断,大多数场景投入成本是值得。

本文不同业务场景,分别提出不同解决方案。在介绍方案之前,首先给大家简单介绍腾讯云提供高防能力以及之间区别。

产品名称

使用范围

接入方式

防护能力

付费情况

配置特征

基础防护

仅限于腾讯资源

无需配置

普通客户 2G VIP客户10G

免费

无需配置,自动开始防护

高防包

仅限于腾讯云北京,上海,广州地域资源

高防包绑定防护IP资源,原先业务流量路径不变

30G(保底)100G(共享上限)

付费

业务无需变更同时无影响,业务IP直接绑定高防包即可

高防IP

面向业务部署国内地域(包括自建IDC以及其他云厂家资源)

通过高防 IP 进行代理后,转发至后端源站 IP

大陆地区防护:BGP线路300G 三网线路1T 海外防护能力:400G

付费

业务无影响,但需要如下配置 1.业务流量解析到高防IP 2.配置转发规则

场景一:历史攻击频率较低,攻击流量高于30G。

首先业务系统有感知攻击和封堵的能力,实时了解感知业务安全防护情况。具体腾讯云控制台配置告警,详见下图:

安全事件通知告警安全事件通知告警

场景描述

指标

攻击频率

攻击流量

普通客户流量高于2G低于30G,VIP客户流量高于10G低于30G

资源归属

防护IP仅限于腾讯云资源

解决方案:高防包

业务改造

0改造

业务影响

0影响

操作步骤

配置简单快捷,控制台对防护绑定高防包即可

待提升

防护能力低,30G保底防护,超过30G攻击流量,恢复时间不可控,需要人工救火。

场景二:历史攻击频率居中,攻击流量低于300G

场景描述

指标

攻击频率

居中

攻击流量

超过30G,低于300G

资源归属

在腾讯云或者自建IDC

业务延时

不敏感

解决方案:BGP高防IP

业务改造

权威DNS修改解析,高防IP为业务入口

业务影响

业务延时增加20ms

操作步骤

1.高防控制台配置转发策略接入 2.源站有白名单,需要将高防IP回源地址段加入白名单内 3.针对端口转发场景,业务侧有获取用户端IP地址需求,需要在源站(LINUX)安装TOA插件

待提升

1.防护能力上限300G,攻击流量超过300G,业务恢复时间不可用,需人工救火 2.业务延迟20ms

场景三:历史攻击频率较高,攻击流量低于1T

场景描述

指标

攻击频率

较高

攻击流量

低于1T

资源归属

在腾讯云或者自建IDC

业务时延

非常敏感

解决方案:高防包,BGP高防IP,三网高防IP,智能调度

业务改造

权威DNS修改解析,智能调度CNANE为业务入口

业务影响

无攻击的时候,业务无影响,出现攻击封堵时候,业务调度到高防IP会增加20ms延时

操作步骤

1.CLB VIP-1绑定高防包 2.BGP高防IP地址和三网高防IP配置接入规则针对CLB VIP-2,如果源站有白名单机制,需要将高防IP地址加白 3.配置智能调度,第一优先级为VIP-1.其次为BGP高防IP,最后为三网高防IP地址 4.针对端口转发场景,业务侧有获取用户端IP地址需求,需要在源站(LINUX)安装TOA插件

风险点

业务恢复依赖于运营商DNS TTL时间

结合下图来看看场景三的调度流程:

1.平常正常流量业务入口未CLB-1,没有延时

2.攻击流量超过防护阈值,CLB-1 VIP被平台或者运营商封堵,一旦封堵触发智能调度自动回将业务流量调度到BGP高防IP,但这里受限于local DNS TTL.

3.当攻击流量超过BGP防护能力,BGP IP被被平台或者运营商封堵,一旦封堵触发智能调度自动回将业务流量调度到三网高防IP,但这里受限于local DNS TTL.

场景三解决方案场景三解决方案

当收到了安全时间通知,我们如何应对?

1.在控制台先观察监控数据,核实攻击是否持续,如果不持续,点击解封。

攻击是否持续攻击是否持续

2.如果攻击还在持续,控制台升级防护能力。

提升防护能力提升防护能力

0 人点赞