簡介：?本文主要介紹日志審計結合DDoS防護保障云上業務安全的新實踐。

日志審計攜手DDoS防護助力云上安全

1 背景介紹

設想一下，此時你正在高速公路上開車去上班，路上還有其他汽車，總體而言，大家都按照清晰的合法速度平穩駕駛，當你接近入口坡道的時候，會有更多的車輛加入，然后入口處的車輛越來越多，越來越多，直到所有的交通都慢了下來，最后原來的通行入口拒絕了所有車輛的通過請求。若把通行入口比作服務器的某些資源，那么這就是現實中的一種DDoS案例。

1.1 DDoS攻擊

那么什么是DDoS呢？分布式拒絕服務（Distributed Denial of Service，簡稱DDoS) 是指多臺計算機聯合起來通過惡意程序對一個或多個目標發起攻擊，從而影響計算機的性能或消耗網絡帶寬，使原目標服務器無法提供正常服務1。當目標服務器受到DDoS攻擊影響后，帶來的不僅僅是巨大的經濟利益損失，甚至很可能造成核心數據的泄漏，因此對DDoS進行防護就非常有必要。

圖1 2020.10.10 各個國家遭受DDOS攻擊https://www.digitalattackmap.com/

1.2 日志審計服務

日志審計服務是在繼承現有日志服務所有功能外，還支持多賬戶下實時自動化、中心化采集云產品日志并進行審計，以及支持審計所需的存儲、查詢及信息匯總。將DDoS防護和日志審計結合起來使用，可以幫助用戶更清晰的掌握實時DDoS防護情況，也可以對已有防護事件進行回溯和復盤，從而更好地保障用戶安全體驗。目前日志審計已支持多種云產品，本文主要介紹日志審計結合DDoS防護助力云上安全。

2 DDOS防護

2.1 DDoS攻擊案例

每一臺網絡中的服務器都有可能受到DDoS攻擊。根據F5 labs的2020 DDoS攻擊趨勢報告2，受到最多的攻擊行業有教育、金融、游戲、技術、電信等，但這并不意味其他行業就是絕對安全的，因為發起DDoS攻擊對于潛在的黑客來說，有非常低的準入門檻，不僅Youtube上有大量創建僵尸網絡的教程，DDoS出租服務也為哪些希望從零發起攻擊的人提供非常低廉的價格。下面我們來看看迄今為止，五大著名的DDoS攻擊案例3。

• 2017年，谷歌遭受DDoS攻擊。根據谷歌安全分析小組在2020年10月16日公布的關于威脅和威脅因子的一篇博客，谷歌安全可靠性團隊在2017年檢測到破紀錄的UDP放大攻擊，其bps峰值達2.5T。
• 2020年2月，AWS遭受了一次巨大的DDoS攻擊，攻擊持續3天，帶寬達到每秒2.3TB，攻擊者利用CLDAP（Connectionless Lightweight Directory Access Protocal）反射技術，該技術依賴于易受攻擊的第三方服務器，并將發送到受害者IP地址的數據量放大56-70倍。
• 2016年Brian Kerbs 和OVH 遭受DDoS攻擊。Brian Kerbs是著名的安全專家，其博客自2012年就經受各種攻擊的考驗，然而2016年9月20日的攻擊比他所有曾經遭受的攻擊的三倍還要多。攻擊源是Mirai僵尸網絡控制的約60萬臺的IoT設備，例如IP相機，家庭路由等等。 Mirai在9月還攻擊了另一個OVH公司，OVH是歐洲最大的網絡托管服務供應商。
• 2016年 9月30日，Mirai的作者在論壇上發布了其源代碼，并隨后被復制成各種各樣的版本，2016年10月21日，主要DNS服務商Dyn遭到每秒1TB的流量泛洪攻擊，影響了包括Github、HBO、Twitter、Nexflix等知名網站的訪問。
• 2018年2月28日，github遭受了每秒1.35Tb的DDoS攻擊，攻擊時長達約20分鐘，即使Github早就為DDoS做好的充分準備，但是他們的DDoS防護對于此流量的攻擊還是顯得有些力不從心。

2.2 DDoS防護手段

若要緩解 DDoS 攻擊，關鍵在于區分正常流量與攻擊流量。例如，如果因發布某款新品導致公司網站涌入大批熱情客戶，那么全面切斷流量是錯誤之舉。如果公司從已知惡意用戶處收到突然激增的流量，那么則需要努力對抗攻擊。在現代互聯網中，DDoS 流量的形式和設計五花八門，從非欺騙性單源攻擊到復雜的自適應多方位攻擊無所不有。

黑洞策略就是指當阿里云公網IP資產受到大流量DDoS攻擊，其峰值帶寬bps超過DDoS的防御能力時，資產IP會進入黑洞狀態，即屏蔽IP所有in的互聯網流量，黑洞狀態可以自動解封（當達到默認解封時間后），也支持提前手動解封（DDoS原生企業版以及高防新bgp版）。但這不是理想的解決方案，因為它相當于讓攻擊者達成預期的目的，使正常流量也無法訪問。

限制服務器在某個時間段接收的請求數量也是防護拒絕服務攻擊的一種方法。雖然速率限制對于減緩 Web 爬蟲竊取內容及防護暴力破解攻擊很有幫助，但僅靠速率限制可能不足以有效應對復雜的 DDoS 攻擊。然而，在高效 DDoS 防護策略中，速率限制不失為一種有效手段。

一般而言，攻擊越復雜，越難以區分攻擊流量與正常流量，因為攻擊者的目標是盡可能混入正常流量，從而盡量減弱緩解成效。流量清洗就是將流量從原始路徑重定向到清洗設備，對IP成分進行異常檢測，并對最終到達server的流量實施限流，這是高級防護中一種比較常見的防護方式。

2.3 DDoS攻擊類型

多方位 的DDoS 攻擊采用多種攻擊手段，以期通過不同的方式擊垮目標，分散各個層級的防護工作注意力。同時針對協議堆棧的多個層級（如 DNS 放大（針對第 3/4 層）外加 HTTP泛洪（針對第 7 層））發動攻擊就是多方位 DDoS 攻擊的一個典型例子。下表是幾種典型的DDoS攻擊類型的具體描述4。

表1 DDoS 攻擊類型
DDoS 攻擊分類	攻擊子類	描述
畸形報文	FragFlood、Smurf、StreamFlood、LandFlood、IP畸形，TCP畸形，UDP畸形報文等	向target發送有缺陷的IP報文，target處理時會崩潰
傳輸層DDoS攻擊	SynFlood、AckFlood、UDPFlood、ICMPFlood、RstFlood	例SynFlood，利用TCP三次握手機制，server收到syn請求后，需要使用一個監聽隊列保存連接一段時間，因此通過向sever不斷發送syn請求，但不響應syn+ack報文，從而消耗服務端的監聽隊列。
DNS DDoS攻擊	DNS Request Flood，DNS Response Flood， 虛假源+真實源DNS Query Flood，權威服務器攻擊和local 服務器攻擊等	例DNS Query Flood，多臺傀儡機同時發起海量域名查詢請求，造成sever無法響應
連接型DDoS攻擊	TCP慢速連接攻擊，連接耗盡攻擊，loic，hoic，slowloris，pyloris，xoic等	例slowloris，利用http協議的特性，http請求以\r\n\r\n 標識headers的結束，如果web服務端只收到\r\n 則認為http headers 還未結束，將保留該連接并等待后續請求，這樣造成連接一直沒法關閉，連接并發性達到上限后，即使受到新的http請求也沒法建立連接
Web 應用層DDoS攻擊	Http Get Flood，HttpPost Flood， CC	完全模擬用戶請求，類似搜索引擎和爬蟲，消耗后端資源，包括web響應時間，數據庫服務，磁盤讀寫等。例如刷票軟件就是CC攻擊

2.4 云上安全方案

針對DDoS攻擊，阿里云建議用戶從以下幾個方面著手降低DDoS的威脅：

表2 云上安全方案概覽
減少暴露，資源隔離	彈性伸縮和災備切換	監控和告警	商業安全方案
1.減少服務端口暴露，配置安全組； 2.使用專有網絡VPC （virtual private cloud）；	1.定期壓測，評估業務吞吐能力， 提供余量帶寬； 2.SLB（Server Load Balancer）降低單服務器負載壓力，多點并發； 3. 彈性伸縮（Auto Scaling）資源管理； 4.優化DNS解析；	1.配置告警； 2.云監控； 3.應急預案；	1.Web 應用防護墻（WAF）； 2.DDoS 原生防護； 3.DDoS 高級防護； 4.游戲盾；

圖2 云上安全方案概覽

2.5 DDoS防護產品

針對DDoS攻擊，阿里云推出了一些商業安全方案，比如DDoS防護就有原生防護和高級防護等防護產品，其中原生防護(Anti-DDoS origin)又有基礎版和企業版本。阿里云公網云服務（ECS，SLB，EIP）默認支持DDoS原生防護基礎版，相較企業版，基礎版不算“產品”，不具有實例概念，而企業版主要優勢在于可根據實時機房網絡整體水位，進行全力防護。DDoS高防產品又分為新BGP版(Anti-DDoS Pro)和國際版(Anti-DDoS Premium)，此外還有游戲盾等產品。日志審計目前最新支持DDoS原生防護、DDoS高防（新BGP）版，DDoS高防（國際）版，可以在前端控制臺開啟采集授權。

圖3 DDoS防護產品類別

DDoS防護的具體使用方法和最佳實踐請參考官方網站。下面簡單介紹一下原生防護和高防（新BGP）和高防（國際）三個產品。

2.5.1 原生防護

DDoS原生防護通過在阿里云機房出口處建設DDoS攻擊檢測及清洗系統，直接將防御能力加載到云產品上，以被動清洗為主，主動壓制為輔的方式，實現DDoS攻擊防護，推薦結合WAF一起使用，防護效果更佳。

圖4 DDoS 原生防護工作原理

2.5.2 高防（新BGP）版

圖5 DDoS 高級防護架構設計

DDoS高防通過DNS解析和IP直接指向引流到阿里云高防網絡機房，在高防清洗中心清洗過濾，抵御流量型和資源耗費型攻擊。

圖6 DDoS高防（新BGP）工作原理

BGP（Broder GateWay Protocol）協議的最主要功能在于控制路由的傳播和選擇最好的路由。高防新BGP版主要適用業務服務器部署在中國內地的場景，中國內地T極八線BGP帶寬資源，可幫助業務抵御超大流量DDoS攻擊。

2.5.3 高防（國際）版

國際版主要適用業務服務部署在中國內地以外的地域場景，為接入防護的業務提供不設上限的DDoS全力防護。

圖7 DDoS高防（國際）工作原理

Anycast是一種網絡地址和路由通信方式。訪問Anycast地址的報文可以被路由到該Anycast地址標識的一組特定的服務器主機。DDoS高防（國際）采用Anycast方式將接收到的流量路由到距離最近（路由跳數最少）且擁有防護能力的清洗中心。

3 日志審計下的DDoS防護

日志審計作為阿里云日志服務SLS（Simple Log Service）下的一款產品，主要是通過日志審計功能對旗下的云產品的進行多賬號，跨域聚合，統計，分析，可視化等5。下面將主要介紹日志審計對DDoS三種防護產品的支持。

3.1 采集DDoS防護日志

在SLS日志審計頁面開通DDoS 防護 下的產品采集授權：

圖8 日志審計新增DDoS防護產品支持

3.2 查看DDoS防護日志

開啟授權賬號下的DDoS防護的采集后，點擊project進入名為ddos_log的logstore，可以對近期的DDoS防護日志做出全面掌控。假設用戶同時開通了賬號下對DDoS原生防護，DDoS高防（新BGP），DDoS高防（國際）日志的采集授權，可以分別對應topic為ddosbgp_access_log, ddoscoo_access_log, ddosdip_access_log進行過濾查看。

表3：ddos_log
__topic__	防護產品
ddos_bgp_access_log	DDoS原生防護
ddos_coo_access_log	DDoS高防（新BGP）
ddos_dip_access_log	DDoS高防（國際）

3.2.1 DDoS原生日志

圖9 原生防護的日志

3.2.2 DDoS高防新BGP日志

圖10 高防（新bgp）日志

3.2.3 DDoS高防國際日志

圖11 高防（國際）日志

3.3 豐富的Dashboard

此外，日志審計對于DDoS也支持豐富的儀表盤功能。

3.3.1 原生防護事件報表及清洗報表

圖12 今日DDoS黑洞事件1次和清洗事件2次

圖13 本月DDoS黑洞事件和清洗事件趨勢列表

此外，原生清洗報表還包括in流量監控，in流量分布，in流量協議類型分布，包檢查，sync cookie，首包檢查，L7filter，L4filter，AntiTDP，AntiUDP等報表展示。

3.3.2 DDoS高防（新BGP）訪問中心與運營中心

高防訪問中心和運營中心包含大量預設的模板dashboard，如下圖所示。

圖14 高防新BGP訪問中心1

圖15 高防新BGP訪問中心2

圖16 高防新BGD運營中心

3.3.3 DDoS高防（國際）訪問中心與運營中心

圖17 高防國際訪問中心1

圖18 高防國際訪問中心2

圖19 高防國際運營中心

4 審計+防護的最佳實踐

接下來，我們將以DDoS高防（新BGP）的防護例子為大家展示DDoS防護結合日志審計的最佳實踐。

4.1 實踐準備

首先，在個人日志審計中心APP開啟DDoS高防（新BGP）采集授權，然后在DDoS防護頁面，將之前準備好的域名***.com接入，配置好關聯高防IP地址，以及具體的防護設置。

4.1.1 添加域名接入

圖20 DDoS高防配置域名接入

4.1.2 設定防護規則

在這里我們通過頻率控制的手段，通過編輯具體的防護規則，對該域名下某一具體URL進行防護。頻率控制防護開啟后自動生效，默認使用正常防護模式，幫助網站防御一般的CC攻擊。這里我們假定在檢測時長5秒內，允許單個源IP訪問被防護地址/test URL的次數為2次，超過次數將封禁1分鐘。

圖21 通過頻率控制防護規則

4.2 實踐對比

4.2.1 訪問對比

對于該域名下具體URL：/test和/welcome ，對/test開啟了防護規則設置，對/welcome沒有任何限制。可以看到雖然/welcome在服務器中并不存在，但是/test頁面則直接被阻隔在網站之外。

圖22 發起訪問請求

4.2.2 日志對照

在日志審計DDoS里查看具體的DDoS日志，可以看到訪問/welcome，cc_block字段為0，也就是False，因此可視為正常流量，而訪問/test，cc_block 字段為1，即True，也就是說明DDoS防護將其視作CC攻擊。

圖23 查看防護日志

4.2.3 儀表盤觀測

我們將通過審計下面DDoS高防（新BGP）運營中心的儀表盤對剛才的事件進行更直觀的復盤，

首先，我們將觀測時間設為較短的相對時間5分鐘，此時沒有用戶請求，即無正常流量也無攻擊流量。

圖24 原始運營中心

然后我們訪問該接入域名下的/welcome頁面，此時請求數為1，可以觀測到客戶網站出現了有效流量。

圖25 有效流量示意

接下來訪問/test頁面，可以看到該訪問被判定為攻擊流量，并沒有流入客戶網站，而是被拿來丟棄與分析，此時的攻擊者概況表格中，出現了攻擊者具體IP源以及攻擊次數等信息。

圖26 攻擊流量示意

通過上述簡單的實踐過程，相信對大家理解日志審計和DDoS結合使用的效果有較直觀的感受，若想知道更多的細節，可以參考下面的鏈接。

5 參考鏈接

• Denial of service
• 5 most famous ddos attacks
• DDoS attack trends for 2020
• 阿里云DDoS防護
• 日志審計服務

原文鏈接

本文為阿里云原創內容，未經允許不得轉載。?

總結

以上是生活随笔為你收集整理的日志审计携手DDoS防护助力云上安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。