Day 17 大流量网路安全-Anti-DDoS

前面我们持续带入新的服务利用架构的方式解决网站负载问题，在资安方面使用了应用防火墙(WAF)能有效的防阻Http Flood等第七层的攻击行为，但WAF只针对应用层的行为做分析及精确的访问规则，对於网路层、传输层的攻击并无法保护，由其在传输层的攻击往往会造成庞大的流量导致网路壅塞濒紧，而在面临TCP、UDP等传输层的攻击，在阿里云上提供了全球Anycast的Anti-DDoS高防可以有效缓解攻击所造成的全面影响

Anti-DDoS高防(Anti-DDoS Premium instance)

高防会透过代理的方式设置，并将来至Internet上的访问流量导入至高防清洗中心(cleaning house)，封包将自动比对恶意攻击特徵资料库，并进行过滤让正常的访问流量转发回後端服务器，以此方式让服务不受影响中断，以下介绍笔者认为Anti-DDoS高防的关键功能

Anycast:

DDoS高防在全球有数个基於Anycast IP 网路架构基础上的cleaning house，透过分散式的方式，让分散式阻断攻击的来源无法汇集在一起，达到单一清洗中心部会因为遭受大量网路攻击而网路瘫痪

流量调度器

流量调度器是高防的一项附加服务，透过DNS搭配攻击特徵比对，让高防服务能在CDN与其它优化连线的云服务之间做智能判断切换

实务操作Anti-DDoS

接着我们要在WAF前在加上一层高防服务保护3-7层上的网路安全，并且透过高防服务附加的DNS调度服务让我们的服务在未受大量DDoS攻击前使用CDN让访问者能有最好的访问体验

1. 在产品列表Security分类上，找到DDoS高防(Anti-DDos)
   

2. 在高防选择上主要分为三类简单区分:

• DDoS高防(国际)面向全球用户
• DDoS(新BGP)主要中国用户
• DDoS原生防护主要保护在同一地区阿里云上服务

防护方案分为:

• 保险版一个月提供2次24小时的攻击防护，对於有活动推广时可以在有限预算上预防攻击造成的推广损失
• 无忧版为没有上限的防护，相对的成本是高的
• 加速线路主要是提供中国用户访问到全球透过这项附加服务可以有优异的访问品质(该服务本身没有DDoS防护，并须搭配其它两个版本才能达到防护能力)

功能选择:

• 预设为标准功能，如果有websocket(s)等长连接协议、CDN调度、加速线路调度等功能需要选择增强功能
  

3. 建立好高防实例後，可以在实例管理里看到配置好的高防Anycast实例IP
   

4. 接着可以选择代理方式分为:

• 域名接入是透过第七层的方式代理，这里我们将WAF的cname位址加入後端服务器地址
• 端口接入是透过第四层的方式代理，如果服务是TCP、UDP及80、443、8080以外的port需要选择端口接入
  

5. 看起来很简单就能完成配置，接着只要将高防的cname解析到网站域名就完成高防接入了*(实际在这次实验先不解析到网站，我们需要透过调度器让CDN和高防之间互相切换)*
   

6. 在流量调度器里可以看到几种调度方式介绍，这边选择CDN联动调度点选添加联动
   

7. 阿里云会自动判断逾名是否在阿里云CDN上勾选需要关联的高防实例，并设定QPS阀值完成关联设定
   

8. 设定完在调度器会产生一组cname domain，里面包含着CDN、高防实例的domain位址，透过智能调度器判断近来的流量是否存在攻击行为并切换服务
   

9. 最後将调度器cname解析上网站domain name
   

10. 透过本机端nslookup解析网站domain验证可以得知，在未受到攻击时解析得到调度器cname位址以及阿里云CDN的cname位址与节点IP
    

11. 为了验证切换功能，透过一些方法压力测试自己的服务，发现在压力测试一阵子後调度器判断为攻击行为因此解析後得到了高防实例的Anycast IP，从网站开发者模式验证确实切换到高防IP
    
    

12. 在阿里云平台上攻击分析可以看到目前所发生的事件，阿里云这里判别为http flood攻击，以切换到高防线路进行恶意流量过滤清洗
    

13. 在DDoS高防的安全总览也可以看到即时及历史的攻击流量状况，包含第四层及第七层的攻击
    
    

14. 在攻击结束後预设调度器会自动判断并将流量切换回CDN，也可以手动在平台上做操作切换
    

透过DDoS高防我们可以有效降低网路攻击造成的损失，在未来网路攻击将会随着科技高速发展日益严重，手机设备随着5G高速网路逐渐普及，势必会造就新型态的DDoS阻断攻击，资讯安全未来将会是需要不断演进且持续性的攻防战