阿里云新BGP高防IP服务采用中国大陆地域独有的T级八线BGP带宽资源,可解决超大流量DDoS攻击。相比静态IDC高防IP服务,新BGP高防IP天然具有灾备能力、线路更稳定、访问速度更快。

背景信息

互联网界的安全一直都面临着挑战,以DDoS攻击为代表的网络威胁直接对网络安全产生严重的影响。

DDoS攻击正在朝着大规模、移动化、全球化的方向发展。最近几年,DDoS攻击的频率呈现出增长的趋势。黑客攻击的隐蔽性强,能够控制大量安全措施差的云服务商、IDC、甚至海量摄像头发起攻击,其攻击已经形成了成熟的黑色产业链,并且越来越组织化。同时,攻击的方式向两极化发展,慢速攻击、混合攻击尤其是CC攻击占比不断增大,这给检测防御造成更大的难度。一方面,超过1Tbps的攻击峰值屡见不鲜、100G攻击次数成倍增长,另一方面,应用层攻击也在大幅度翻倍。

根据卡巴斯基2018Q1的DDoS风险报告,中国依然是主要的DDoS攻击源和目标。 主要被攻击的行业是互联网、游戏、软件公司、金融等。超过80%的DDoS攻击会混合HTTP攻击,而CC攻击尤其隐蔽,因此通过日志对访问和攻击行为进行即时分析研究、附加防护策略就显得尤其重要。

日志服务支持实时采集阿里云新BGP高防IP的网站访问日志、CC攻击日志,并支持对采集到的日志数据进行实时检索与分析,并以仪表盘形式展示查询结果。

功能优势

  • 配置简单:轻松配置即可实时采集高防日志,添加新网站后自动为其开启日志采集。
  • 实时分析:依托日志服务,提供实时日志分析,并提供开箱即用的报表中心,对CC攻击状况以及客户访问细节了如指掌。
  • 实时告警:支持基于特定指标定制准实时的监测与告警,确保关键业务异常时可及时响应。
  • 生态体系:支持对接其他生态如流计算、云存储、可视化方案,进一步挖掘数据价值。
  • 免费额度:提供3 TB的免费数据导入额度,以及免费30天的日志存储、查询与实时分析。

限制与说明

  • 专属日志库不支持写入其他数据

    专属日志库用于存入新BGP高防IP的网站日志,因此不支持写入其他数据。其他查询、统计、报警、流式消费等功能没有限制。

  • 不支持修改日志库的存储时间和总容量。

    专属日志库的存储容量需要根据自身业务规模进行付费购买,最高支持1000T的存储容量,日志最长保存180天。

应用场景

  • 排查网站访问异常

    配置日志服务采集新BGP高防日志后,您可以对采集到的日志进行实时查询与分析。使用SQL语句分析新BGP访问日志,可以对网站的访问异常进行快速排查和问题分析,并查看读写延时、运营商分布等信息。

    例如,通过以下语句查看新BGP访问日志:
    __topic__: ddos_access_log
    查询结果:
    图 1. 新BGP访问日志


  • 追踪CC攻击者来源

    新BGP访问日志中记录了CC攻击者的分布及来源,通过对新BGP访问日志进行实时查询与分析,您可以对CC攻击者进行来源追踪、溯源攻击事件,为您的应对策略提供参考。

    例如,通过以下语句分析新BGP高防访问日志中记录的CC攻击者国家分布:
    __topic__: ddos_access_log and cc_blocks > 0| SELECT ip_to_country(if(real_client_ip='-', remote_addr, real_client_ip)) as country, count(1) as "攻击次数" group by country
    将分析结果用仪表盘表示:
    图 2. CC攻击者来源


  • 例如,通过以下语句查看访问PV:
    __topic__: ddos_access_log | select count(1) as PV
    将分析结果用仪表盘表示:
    图 3. 访问PV


  • 网站运营分析

    新BGP高防访问日志中实时记录网站访问数据,您可以对采集到的访问日志数据进行SQL查询分析,得到实时的访问情况,例如判断网站热门程度、访问来源及渠道、客户端分布等,并以此辅助网站运营分析。

    例如,查看来自各个网络运营商的访问者流量分布:
    __topic__: ddos_access_log | select ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) as provider, round(sum(request_length)/1024.0/1024.0, 3) as mb_in group by provider having ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) <> '' order by mb_in desc limit 10
    将分析结果用仪表盘展示:
    图 4. 访问客户端分布