DDoS数据分析

通过DDoS分析攻击详情功能,可以最多对过去30天的DDoS防护数据进行统计,包括网络层、应用层、攻击防护详情记录等维度,可以协助业务安全健康监测以及防护策略调整。

说明

该功能仅支持企业版用户使用。

DDoS攻击分析

ESA会将DDoS攻击结果根据网络层次进行分类,针对攻击峰值、带宽进行统计并且可实时显示清洗事件处理进程。

网络层流量监控

在网络层DDoS攻击检测中,同步监测带宽bps(bits per second)与包速率pps(packets per second)是识别攻击特征的核心手段。

  • bps指标:量化攻击流量对物理链路容量的消耗,当攻击流量持续占用95%以上带宽时,将直接导致合法业务流量的传输中断。

  • pps指标:反映设备的数据包处理能力负载,高频小包攻击即使仅占用较小的带宽,也可能因每秒超百万数据包(>1Mpps)超出设备包转发极限,触发CPU过载或会话表耗尽。

二者结合可精准区分攻击类型:大包泛洪攻击表现为高bps/低pps特征,而连接耗尽型攻击呈现低bps/高pps特性。缺少任一指标将导致防御策略失效,例如忽略pps监测将无法检测低带宽高强度的协议栈资源耗尽攻击。可以参考以下操作获取bps以及pps数据:

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > DDoS

  3. DDoS页面,单击DDoS分析页签,选择网络层页签。

  4. 根据业务需求,在时间筛选区选择数据统计区间,即可展示所选时间区间的网络层流量详细情况,同时ESA将为您统计出区间内的攻击带宽峰值攻击包速峰值image

应用层流量监控

在应用层DDoS攻击检测中,请求速率QPS(Queries Per Second)是识别恶意流量的核心指标。应用层的攻击一般是通过模拟合法业务请求耗尽服务端资源,其流量特征在网络层(bps/pps)通常无显著异常,而QPS直接量化应用层负载强度。可以参考以下操作获取QPS数据:

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > DDoS

  3. DDoS页面,单击DDoS分析页签,选择应用层页签。

  4. 根据业务需求,在时间筛选区选择数据统计区间,即可展示所选时间区间的应用层流量详细情况,同时ESA将为您统计出区间内的HTTP清洗峰值HTTPS清洗峰值image

清洗事件监控

当业务系统在遭受大规模DDoS攻击时,ESA会通过清洗动作对流量进行实时监测、分析和过滤,将恶意攻击流量从正常流量中分离出来,并进行阻断或丢弃,只让合法的正常流量到达目标服务器,从而保障服务器的正常运行和网络服务的可用性。针对不同层级的攻击会有不同的清洗事件触发机制:

  • 网络层清洗事件:攻击达到 5Gbps 以上,就有可能触发清洗。

  • 应用层清洗事件:系统会基于域名访问QPS、源站异常状态码的数据基线进行深度学习,根据实际业务规模进行清洗。

可以参考以下操作获取详细的清洗事件记录:

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > DDoS

  3. DDoS页面,单击DDoS分析页签,根据需要选择网络层或者应用层页签,下滑至页面底部即可查看清洗事件详情。image

攻击详情分析

ESADDoS攻击根据网络层次进行分类为:流量型(网络层攻击)、Web资源耗尽型(应用层攻击)。可以根据时间跨度以及攻击类型筛选查看攻击详情。

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > DDoS

  3. DDoS页面,单击攻击详情页签,在下拉框选择攻击类型以及时间区间即可查看流量型攻击峰值Web资源耗尽型攻击峰值连接型攻击峰值以及攻击事件详情。