ESA结合DDoS数据分析看板、网络层/传输层(L3/L4)防御和应用层(L7)防御,来抵御外部的DDoS的攻击。
什么是DDoS攻击
分布式拒绝服务(DDoS)攻击的目的不是窃取数据,而是通过消耗资源的方式,让业务陷入瘫痪。
攻击者通过控制大量被感染的计算机、服务器甚至物联网设备(这些设备被称为“僵尸网络”),在同一时间向目标网站或应用服务器发起海量无效或恶意的访问请求。这些请求会在瞬间耗尽目标服务器的带宽、CPU、内存等资源,最终导致目标的服务响应缓慢甚至完全中断,使正常用户无法访问。
DDoS攻击的工作原理
DDoS攻击的实施通常分为三个步骤:
组建僵尸网络: 攻击者通过各种手段(如病毒、木马、漏洞利用)在互联网上感染和控制大量的终端设备,将它们组建成一个庞大的、听其号令的“僵尸网络”。
下达攻击指令: 攻击者通过控制端服务器,向所有“僵尸主机”下达攻击指令,指定要攻击的目标(例如您的网站IP地址或域名)。
发起集火攻击: 遍布全球的“僵尸主机”在收到指令后,立刻从四面八方向您的服务器发起海量请求,形成一股巨大的攻击流量,最终压垮您的服务。
由于攻击源头极其分散,遍布全球,这使得追踪和封堵攻击源变得异常困难。
常见的DDoS攻击类型
DDoS攻击手段繁多,根据攻击方式的不同,可以分为以下两种:
网络层/传输层(L3/L4)攻击
工作原理: 这类攻击主要针对网络基础设施,通过发送大量构造的TCP或UDP数据包,快速耗尽服务器的带宽资源或连接数表,使得正常的用户请求无法到达服务器。
常见类型: SYN Flood、UDP Flood、ACK Flood等。
特点: 流量巨大,简单粗暴,旨在用绝对的流量压垮目标。
应用层(L7)攻击
工作原理: 这类攻击模仿正常用户的行为,向目标应用程序发起大量看似合法的请求(如HTTP GET/POST请求)。它不像堵塞公路,更像是派了无数“假顾客”去占用店里所有服务员的时间,让他们处理各种复杂的咨询,从而耗尽服务器的CPU、内存等应用处理资源。
常见类型: HTTP Flood,通常也被称为CC攻击(Challenge Collapsar)。
特点: 流量不一定巨大,但请求非常复杂,攻击流量与正常用户流量混杂在一起,难以分辨,防护难度更高。
如何判断是否遭受了DDoS攻击
如果业务出现以下一个或多个情况时,可能正在遭受DDoS攻击:
网站或应用突然无法访问,或响应速度变得极慢。
网络流量异常激增,远超正常业务峰值。您可以在ESA控制台的站点概况页中的数据概览报表直观地看到这一变化。
服务器CPU或内存使用率飙升,长时间处于100%的满负荷状态。
日志中出现海量请求,这些请求通常来自大量不同的、无规律的IP地址。您可以使用ESA安全防护的安全分析功能来进行快速排查。
ESA中DDoS防护功能介绍
分类 | 功能项 | 功能描述 |
抵御网络层/传输层攻击(L3/L4层攻击) | ESA为基础版、标准版、高级版套餐默认提供DDoS基础防护(即平台级防护),DDoS基础防护可防护不高于10Gbps的DDoS攻击但不承诺具体数值。 | |
企业版可加购最高Tbps级全力防护,且支持同时防护四层代理业务。 | ||
抵御应用层攻击(L7层攻击) | HTTP DDoS攻击防护是阿里云DDoS防护引擎基于海量历史攻防经验沉淀的通用防护规则,这些通用的防护规则可以减少攻击发生瞬间透传到源站的CC攻击。 | |
攻击发生时,防护引擎会持续学习攻击特征,并智能生成动态的、更具针对性的防护策略,进一步提升拦截效果(此过程通常在数分钟内完成)。 | ||
DDoS攻击数据分析 | ESA会将DDoS攻击结果根据网络层次进行分类,针对攻击峰值、带宽进行统计并且可实时显示清洗事件处理进程。 | |
ESA将DDoS攻击根据网络层次进行分类为:流量型(网络层攻击)、Web资源耗尽型(应用层攻击)。可以根据时间跨度以及攻击类型筛选查看攻击详情。 |