攻击流量超过300G,遭遇DDoS时我们能做些什么?


攻击流量超过300G,遭遇DDoS时我们能做些什么?文章插图
一、 DDOS 攻击原理
Distributed Denial of Service(DDoS) , 即分布式拒绝服务攻击 , 是指攻击者通过远程连接恶意程序控制大量僵尸主机(全国范围甚至全球范围的主机)向一个或多个目标发送大量攻击请求 , 消耗目标服务器性能或网络带宽 , 导致其无法响应正常的服务请求 。
攻击流量超过300G,遭遇DDoS时我们能做些什么?文章插图
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击 。
【攻击流量超过300G,遭遇DDoS时我们能做些什么?】DDoS 攻击会对您的业务造成以下危害:

  • 当 DDoS 攻击打满企业的业务带宽时就会导致用户无法正常访问您的业务 , 最终造成巨大经济损失 。
  • 由于某些行业的恶性竞争 , 竞争对手可能会通过 DDoS 攻击手段来打击您的业务 , 最终导致您的业务在竞争中失败 。
二、 DDos攻击案例解析
背景:企业 A 的 test 业务一个月内遭遇多次 DDoS 攻击 , 攻击流量从最初的不到 10 Gbps 到最后攻击流量高达 300 多 G。
业务域名:test.com
域名解析的 IP:主 CLB 1.1.1.1 (公网带宽 1 Gbps)、备份 CLB 1.1.1.2
第一波 DDoS 攻击属于试探性的,采用的是 SYN Flood 攻击 , 攻击流量 8 Gbps 。 假设攻击目标 IP:1.1.1.1, 当时业务架构图如下图所示:
攻击流量超过300G,遭遇DDoS时我们能做些什么?文章插图
由于攻击流量没有超过赠送的防护流量 10 G , 所以本次攻击对 test 业务没有任何影响 , 同时也没有引起企业 A 的重视 。
第二波 DDos 攻击的流量已经增加到 40 Gbps , 由于本次攻击远远超过赠送的 10 G 防护值(也超过 CLB 的公网带宽 1 Gbps) , 导致主 IP:1.1.1.1 被封禁后业务 test 无法访问 。
攻击流量超过300G,遭遇DDoS时我们能做些什么?文章插图
虽然主 CLB 因为 DDoS 攻击无法提供服务 , 但是可以通过 DNSpod 快速切换到备份 VIP:2.2.2.2 实现在 10 分钟内恢复了 90% 的用户访问(前提是准备了备份 VIP 可以切换) 。
针对上述场景有两种解决方案:
  • 将重要的业务 VIP 加入到高防包 , 那么后续攻击会通过高防包来清洗攻击流量;
  • 将重要的业务 VIP 绑定到高防 IP , 那么后续攻击会先经过高防 IP 清洗后回源到实际业务 VIP
最终公司 A 选择了最大防护能力为 300 G 的高防 IP , 来规避类似 DDoS 攻击 。
第三波 DDos 攻击的流量增加到 160 Gbps , 由于购买了高防 IP 防护能力高达 300G , 所以本次攻击对业务没有影响 。
攻击流量超过300G,遭遇DDoS时我们能做些什么?文章插图
虽然本次攻击防护成功 , 但是还需要考虑极端情况 , 如果攻击流量超过 300G , 那么还是有影响业务访问的风险 。 为了防护超 300G 攻击流量 , 建议购买三网防护 IP , 理论上可以提供 1 Tbps防护能力 。
第四波 DDoS 攻击的流量超 300 Gbps , 导致高防 IP:3.3.3.3 被封禁 , 但是兜底方案通过 cname 自动切换解析指向三网 IP(分别是电信、联通、移动的公网 IP)最终恢复业务访问 。
攻击流量超过300G,遭遇DDoS时我们能做些什么?文章插图
当高防 IP 被封禁后会立即通过 cname 切换解析到三网 IP , 整个解析切换过程是秒级的 , 也就是虽然高防IP被封禁但是恢复时间可以做到秒级 。


推荐阅读