大促活動如何抵禦大流量 DDoS 攻擊?

語言: CN / TW / HK

每一次活動大促帶來的迅猛流量,對技術人而言都是一次嚴峻考驗。如果在活動期間遭受黑產惡意DDoS攻擊,無疑是雪上加霜。電商的特性是業務常態下通常不會遭受大流量DDoS攻擊,且對延遲敏感,因此只需要在活動期間按需使用DDoS防護。本篇文章由專業的安全團隊為你分享如何根據 DDoS攻擊情況和業務健康狀況,實時調整防護策略,保障業務穩定性的同時,節省大量安全防護和運營成本。

如果你的網站或應用程式突然出現大量可疑的訪問量,而正常使用者不能訪問或無法連線伺服器,那很有可能是遭遇了DDoS 攻擊。DDoS 是網際網路黑色產業鏈中成熟且常見的攻擊手段,攻擊簡單粗暴又有效,溯源困難,犯罪成本低。

一、DDos究竟是如何進行攻擊的?

我們通過一個例子可以幫你更形象地理解它:

小王開了一間餐廳,面積不大,最多隻能容納 50 位客人同時就餐。但由於味道好菜量足,每天就餐的客人絡繹不絕。火爆的生意引起了這條街上流氓的眼紅,他派了 100 多人來小王的店裡搗亂。這些人看上去和普通顧客沒什麼區別,小王和服務員只能正常提供服務,但這些人只是不停地詢問菜品和價格,並不點菜,霸佔了所有的座位和服務員,使其他客人無法正常就餐,最終導致餐廳倒閉。

這就是典型的 DDoS 攻擊模式,它在短時間內發起大量請求,超過系統可處理範圍,使目標網路或系統資源耗盡,導致服務暫時中斷或停止,正常使用者無法訪問。

DDoS 全稱 Distributed Denial-of-Service,其中 Denial-of-Service 意為拒絕服務,它的目的就是使服務不能訪問。Distributed 是分散式,指的是這種攻擊不是來自一個源頭,有可能來源於成千上萬臺裝置。

隨著 IoT 行業發展,物聯網裝置增多,線上時間長,漏洞更新週期長,成為攻擊者漏洞利用的溫床,物聯網裝置逐漸成為 DDoS 攻擊的主力軍。 據統計,2021年DDoS混合攻擊大幅增長,較2020年增長80.8%,2022年DDoS攻擊威脅創歷年新高,超大規模攻擊持續增長已成為常態。

二、DDoS 的主要攻擊方式

一般來說,DDoS的表現形式主要有兩種:

  • 流量攻擊,主要是針對網路頻寬的攻擊,即大量攻擊包導致網路頻寬被阻塞,合法網路包被虛假的攻擊包淹沒而無法到達主機,包括 UDP洪水攻擊、ICMP洪水攻擊、死亡之Ping、淚滴攻擊等攻擊方式。
  • 資源耗盡攻擊,主要是針對伺服器主機的攻擊,即通過大量攻擊包導致主機的記憶體被耗盡或CPU被核心及應用程式佔完而造成無法提供網路服務,包括 SYN flood、LAND攻擊、CC攻擊、僵屍網路攻擊、應用程式級洪水攻擊等攻擊方式。

根據行業權威報告顯示,僵屍網路不再侷限於單一的 DDoS 攻擊手段,而是選擇與勒索軟體、挖礦木馬合作進行攻擊,部分則轉向分散式爆破攻擊,攻擊手段的豐富和靈活的切換使得黑灰產能夠進一步降低 DDoS 攻擊成本,提升攻擊效果。

三、DDoS攻擊如何防範?

我們雖然無法阻止惡意的攻擊者向伺服器傳送大量不真實的訪問資料資訊,但可以提前做好準備,提高負載處理的能力。比如可以為頻寬擴容,在短時間內為網站急劇擴容,提供幾倍或幾十倍的頻寬,頂住大流量的請求。也可以購買IP 高防服務,只需在 DNS 服務商處,將待保護的域名在 CNAME 解析到京東云為您配置的安全域名上,即可完成接入,有效抵禦 SYN Flood、UDP Flood、ICMP Flood 等各種大流量攻擊。IP 高防總防護能力達到 TB 級,輕鬆抵禦超大流量攻擊。

但某些企業使用者業務常態下未遭受大流量DDoS攻擊,且對延遲敏感,因此使用者希望常態下不使用DDoS防護產品和服務。只在企業大促、展會、產品釋出會、新業務上線等重要活動場景,以及企業融資、併購、上市等關乎企業發展的重大事件期間,極易遭受競爭對手和黑產惡意DDoS攻擊,需要在活動期間按需使用DDoS防護產品和服務。並由專業的安全團隊提供7*24小時安全重保,監控DDoS攻擊情況和業務健康狀況,實時調整防護策略,保障業務穩定性的同時,也可節省大量安全防護和運營成本。

四、DDoS定製防護服務應勢而出

京東雲上某電商客戶,在大促前期收到威脅情報,活動期間會有大量來自海外的 DDoS 攻擊。經過京東雲安全團隊觀察,攻擊流量中接近 4 成來自海外,且 CC 攻擊較多,由於客戶已經接入 IP 高防產品,CC 攻擊被有效防護。攻擊者發現 CC 攻擊未能導致客戶源站拒絕服務後,開始嘗試四層大流量攻擊,攻擊峰值超過客戶 IP 高防保底頻寬,彈性防護生效後開始按天產生費用。

為降低客戶 DDoS 防護整體投入,京東雲應勢推出 DDoS 定製防護服務(Anti-DDoS Premium Service),為此類有活動重保需求的使用者提供專業的 DDoS 攻擊防護解決方案,根據使用者應用場景提供定製化的近源清洗、流量壓制、DNS重新整理等服務,保障使用者業務持續穩定執行。

在上述案例中,京東雲安全團隊協助客戶開啟流量壓制功能,封禁海外流量,有效降低了攻擊流量進入 IP 高防節點,減小客戶防護壓力,順利完成客戶大促重保防護任務。

京東雲安全團隊可以提供7*24小時遠端支援,實時監控攻擊趨勢和業務健康狀況,保障業務持續穩定執行。 全面分析客戶所面臨的安全威脅,針對客戶重大業務活動提供專屬的DDoS防護方案。並根據客戶場景定製服務內容,彈性計費,幫助客戶節省成本。

五、DDoS定製防護服務架構原理

DDoS 定製防護服務包括近源清洗、流量壓制、DNS重新整理等服務,可根據具體客戶場景提供定製服務:

 

近源清洗

近源清洗是在運營商側骨幹網路提供大流量的 DDoS 攻擊清洗,清洗靠近攻擊源,能夠有效緩解使用者 IP 高防例項和京東雲上源站的防護壓力,降低被攻擊業務進入黑洞的概率。

流量壓制

流量壓制是在運營商側骨幹網路實現流量封禁,可根據業務實際被攻擊的流量地域分佈特性,自主選擇封禁區域。例如當用戶發現 DDoS 攻擊中海外流量佔比較高,而業務本身並不對海外提供服務,使用者可自主選擇封禁海外流量,同時也支援使用者隨時解除封禁。

DNS 重新整理

域名系統(Domain Name System,簡稱 DNS)是整個網際網路服務的基礎系統之一,負責將人們訪問的網際網路域名轉換為IP地址,這一轉換的過程叫做“域名解析”, 所以 DNS 又稱“域名解析系統”。

域名系統每個節點都由若干 DNS 伺服器組成。這些節點伺服器中擁有域名解析配置管理許可權的伺服器稱為權威 DNS 伺服器。沒有域名解析配置管理許可權,但是能同步權威 DNS 伺服器資料,利用同步快取提供解析服務的稱為快取 DNS 伺服器。權威 DNS 伺服器只擁有部分域名的資料,且互相之間沒有直接聯絡。為能夠提供更全面的域名解析服務,產生了遞迴 DNS 伺服器,網際網路中的遞迴 DNS 伺服器通常由運營商管理。

DNS 重新整理即運營商遞迴 DNS 伺服器發起的和權威 DNS 伺服器同步過程,同步過程秒級生效,保障使用者業務接入和切換流暢。