【最佳实践】DDoS防护解决方案
随着技术和黑色产业链的发展,DDoS攻击的成本越来越低,同时攻击多个环节逐渐自动化,无需人工参与。同时随着各行各业信息互联网话,DDoS的攻击面也越来越多,因此任何需要通过网络提供服务业务系统,都应该考虑对DDoS攻击防护安全考虑。虽然DDoS防护会增加相应的运营成本,攻击期间业务中断,大多数场景投入成本是值得。
本文不同业务场景,分别提出不同解决方案。在介绍方案之前,首先给大家简单介绍腾讯云提供高防能力以及之间区别。
|
产品名称 |
使用范围 |
接入方式 |
防护能力 |
付费情况 |
配置特征 |
|---|---|---|---|---|---|
|
基础防护 |
仅限于腾讯资源 |
无需配置 |
普通客户 2G |
免费 |
无需配置,自动开始防护 |
|
高防包 |
仅限于腾讯云北京,上海,广州地域资源 |
高防包绑定防护IP资源,原先业务流量路径不变 |
30G(保底)100G(共享上限) |
付费 |
业务无需变更同时无影响,业务IP直接绑定高防包即可 |
|
高防IP |
面向业务部署国内地域(包括自建IDC以及其他云厂家资源) |
通过高防 IP 进行代理后,转发至后端源站 IP |
大陆地区防护:BGP线路300G |
付费 |
业务无影响,但需要如下配置 |
场景一:历史攻击频率较低,攻击流量高于30G。
首先业务系统有感知攻击和封堵的能力,实时了解感知业务安全防护情况。具体腾讯云控制台配置告警,详见下图:
|
场景描述 |
指标 |
|---|---|
|
攻击频率 |
低 |
|
攻击流量 |
普通客户流量高于2G低于30G,VIP客户流量高于10G低于30G |
|
资源归属 |
防护IP仅限于腾讯云资源 |
|
解决方案:高防包 |
|
|---|---|
|
业务改造 |
0改造 |
|
业务影响 |
0影响 |
|
操作步骤 |
配置简单快捷,控制台对防护绑定高防包即可 |
|
待提升 |
防护能力低,30G保底防护,超过30G攻击流量,恢复时间不可控,需要人工救火。 |
场景二:历史攻击频率居中,攻击流量低于300G
|
场景描述 |
指标 |
|---|---|
|
攻击频率 |
居中 |
|
攻击流量 |
超过30G,低于300G |
|
资源归属 |
在腾讯云或者自建IDC |
|
业务延时 |
不敏感 |
|
解决方案:BGP高防IP |
|
|---|---|
|
业务改造 |
权威DNS修改解析,高防IP为业务入口 |
|
业务影响 |
业务延时增加20ms |
|
操作步骤 |
1.高防控制台配置转发策略接入 |
|
待提升 |
1.防护能力上限300G,攻击流量超过300G,业务恢复时间不可用,需人工救火 |
场景三:历史攻击频率较高,攻击流量低于1T
|
场景描述 |
指标 |
|---|---|
|
攻击频率 |
较高 |
|
攻击流量 |
低于1T |
|
资源归属 |
在腾讯云或者自建IDC |
|
业务时延 |
非常敏感 |
|
解决方案:高防包,BGP高防IP,三网高防IP,智能调度 |
|
|---|---|
|
业务改造 |
权威DNS修改解析,智能调度CNANE为业务入口 |
|
业务影响 |
无攻击的时候,业务无影响,出现攻击封堵时候,业务调度到高防IP会增加20ms延时 |
|
操作步骤 |
1.CLB VIP-1绑定高防包 |
|
风险点 |
业务恢复依赖于运营商DNS TTL时间 |
结合下图来看看场景三的调度流程:
1.平常正常流量业务入口未CLB-1,没有延时
2.攻击流量超过防护阈值,CLB-1 VIP被平台或者运营商封堵,一旦封堵触发智能调度自动回将业务流量调度到BGP高防IP,但这里受限于local DNS TTL.
3.当攻击流量超过BGP防护能力,BGP IP被被平台或者运营商封堵,一旦封堵触发智能调度自动回将业务流量调度到三网高防IP,但这里受限于local DNS TTL.
当收到了安全时间通知,我们如何应对?
1.在控制台先观察监控数据,核实攻击是否持续,如果不持续,点击解封。
2.如果攻击还在持续,控制台升级防护能力。
