阿里云云安全acp認(rèn)證知識(shí)點(diǎn)之DDoS攻擊緩解最佳實(shí)踐

高級(jí)工程師(ACP) 責(zé)任編輯:陳湘君 2022-05-02

摘要:DDoS攻擊緩解最佳實(shí)踐是阿里云云安全acp認(rèn)證第2章DDoS防護(hù)的知識(shí)點(diǎn)之一,本文將DDoS攻擊緩解最佳實(shí)踐這個(gè)知識(shí)點(diǎn)的內(nèi)容進(jìn)行了整理,希望能幫助考生快速理解和掌握該知識(shí)點(diǎn)的內(nèi)容。

DDoS攻擊緩解最佳實(shí)踐

分布式拒絕服務(wù)攻擊(DDoS攻擊)是一種針對(duì)目標(biāo)系統(tǒng)的惡意網(wǎng)絡(luò)攻擊行為,DDoS攻擊經(jīng)常會(huì)導(dǎo)致被攻擊者的業(yè)務(wù)無(wú)法正常訪問(wèn),也就是所謂的拒絕服務(wù)。

建議阿里云用戶從以下幾個(gè)方面著手緩解DDoS攻擊的威脅:

1、縮小暴露面,隔離資源和不相關(guān)的業(yè)務(wù),降低被攻擊的風(fēng)險(xiǎn);具體有:

配置安全組。盡量避免將非業(yè)務(wù)必須的服務(wù)端口暴露在公網(wǎng)上,從而避免與業(yè)務(wù)無(wú)關(guān)的請(qǐng)求和訪問(wèn)。通過(guò)配置安全組可以有效防止系統(tǒng)被掃描或者意外暴露。

使用專有網(wǎng)絡(luò)VPC(Virtual Private Cloud )。通過(guò)專有網(wǎng)絡(luò)VPC實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部邏輯隔離,防止來(lái)自內(nèi)網(wǎng)傀儡機(jī)的攻擊。

2、優(yōu)化業(yè)務(wù)架構(gòu),利用公共云的特性設(shè)計(jì)彈性伸縮和災(zāi)備切換的系統(tǒng);具體有:

科學(xué)評(píng)估業(yè)務(wù)架構(gòu)性能。在業(yè)務(wù)部署前期或運(yùn)營(yíng)期間,技術(shù)團(tuán)隊(duì)?wèi)?yīng)該對(duì)業(yè)務(wù)架構(gòu)進(jìn)行壓力測(cè)試,以評(píng)估現(xiàn)有架構(gòu)的業(yè)務(wù)吞吐處理能力,為DDoS防御提供詳細(xì)的技術(shù)參數(shù)指導(dǎo)信息。

彈性和冗余架構(gòu)。通過(guò)負(fù)載均衡或異地多中心架構(gòu)避免業(yè)務(wù)架構(gòu)中出現(xiàn)單點(diǎn)故障。如果您的業(yè)務(wù)在阿里云上,可以靈活地使用負(fù)載均衡服務(wù)SLB(Server Load Balancer)實(shí)現(xiàn)多臺(tái)服務(wù)器的多點(diǎn)并發(fā)處理業(yè)務(wù)訪問(wèn),將用戶訪問(wèn)流量均衡分配到各個(gè)服務(wù)器上,降低單臺(tái)服務(wù)器的壓力,提升業(yè)務(wù)吞吐處理能力,這樣可以有效緩解一定流量范圍內(nèi)的連接層DDoS攻擊。

部署彈性伸縮。彈性伸縮(Auto Scaling)是根據(jù)用戶的業(yè)務(wù)需求和策略,經(jīng)濟(jì)地自動(dòng)調(diào)整彈性計(jì)算資源的管理服務(wù)。通過(guò)部署彈性伸縮,系統(tǒng)可以有效的緩解會(huì)話層和應(yīng)用層攻擊,在遭受攻擊時(shí)自動(dòng)增加服務(wù)器,提升處理性能,避免業(yè)務(wù)遭受嚴(yán)重影響。

優(yōu)化DNS解析。通過(guò)智能解析的方式優(yōu)化DNS解析,可以有效避免DNS流量攻擊產(chǎn)生的風(fēng)險(xiǎn)。同時(shí),建議您將業(yè)務(wù)托管至多家DNS服務(wù)商,并可以從以下方面考慮優(yōu)化DNS解析:

屏蔽未經(jīng)請(qǐng)求發(fā)送的DNS響應(yīng)信息;

丟棄快速重傳數(shù)據(jù)包;

啟用TTL;

丟棄未知來(lái)源的DNS查詢請(qǐng)求和響應(yīng)數(shù)據(jù);

丟棄未經(jīng)請(qǐng)求或突發(fā)的DNS請(qǐng)求;

啟動(dòng)DNS客戶端驗(yàn)證;

對(duì)響應(yīng)信息進(jìn)行緩存處理;

使用ACL的權(quán)限;

利用ACL、BCP38及IP信譽(yù)功能;

提供余量帶寬。通過(guò)服務(wù)器性能測(cè)試,評(píng)估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請(qǐng)求數(shù)。在購(gòu)買帶寬時(shí)確保有一定的余量帶寬,可以避免遭受攻擊時(shí)帶寬大于正常使用量而影響正常用戶的情況。

3、服務(wù)器安全加固,提升服務(wù)器自身的連接數(shù)等性能。對(duì)服務(wù)器上的操作系統(tǒng)、軟件服務(wù)進(jìn)行安全加固,減少可被攻擊的點(diǎn),增大攻擊方的攻擊成本:

確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時(shí)更新系統(tǒng)補(bǔ)丁。

對(duì)所有服務(wù)器主機(jī)進(jìn)行檢查,清楚訪問(wèn)者的來(lái)源。

過(guò)濾不必要的服務(wù)和端口。例如,對(duì)于WWW服務(wù)器,只開(kāi)放80端口,將其他所有端口關(guān)閉,或在防火墻上設(shè)置阻止策略。

限制同時(shí)打開(kāi)的SYN半連接數(shù)目,縮短SYN半連接的timeout時(shí)間,限制SYN、ICMP流量。

仔細(xì)檢查網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的日志。一旦出現(xiàn)漏洞或是時(shí)間變更,則說(shuō)明服務(wù)器可能遭到了攻擊。

限制在防火墻外進(jìn)行網(wǎng)絡(luò)文件共享。降低黑客截取系統(tǒng)文件的機(jī)會(huì),若黑客以特洛伊木馬替換它,文件傳輸功能將會(huì)陷入癱瘓。

充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。在配置路由器時(shí)應(yīng)考慮針對(duì)流控、包過(guò)濾、半連接超時(shí)、垃圾包丟棄、來(lái)源偽造的數(shù)據(jù)包丟棄、SYN閾值、禁用ICMP和UDP廣播的策略配置。

通過(guò)iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接,限制疑似惡意IP的連接、傳輸速率。

4、做好業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)。

關(guān)注基礎(chǔ)DDoS防護(hù)監(jiān)控。當(dāng)您的業(yè)務(wù)遭受DDoS攻擊時(shí),基礎(chǔ)DDoS默認(rèn)會(huì)通過(guò)短信和郵件方式發(fā)出告警信息,針對(duì)大流量攻擊基礎(chǔ)DDoS防護(hù)也支持電話報(bào)警,建議您在接受到告警的第一時(shí)間進(jìn)行應(yīng)急處理。

云監(jiān)控。云監(jiān)控服務(wù)可用于收集、獲取阿里云資源的監(jiān)控指標(biāo)或用戶自定義的監(jiān)控指標(biāo),探測(cè)服務(wù)的可用性,并支持針對(duì)指標(biāo)設(shè)置警報(bào)。

建立應(yīng)急響應(yīng)預(yù)案。根據(jù)當(dāng)前的技術(shù)業(yè)務(wù)架構(gòu)和人員,提前準(zhǔn)備應(yīng)急技術(shù)預(yù)案,必要時(shí)可以提前進(jìn)行技術(shù)演練,以檢驗(yàn)應(yīng)急響應(yīng)預(yù)案的合理性。

5、選擇合適的商業(yè)安全方案。阿里云既提供了免費(fèi)的基礎(chǔ)DDoS防護(hù),也提供了商業(yè)安全方案。

Web應(yīng)用防火墻(WAF)。針對(duì)網(wǎng)站類應(yīng)用,例如常見(jiàn)的HTTP Flood攻擊,可以使用WAF可以提供針對(duì)連接層攻擊、會(huì)話層攻擊和應(yīng)用層攻擊進(jìn)行有效防御。

DDoS原生防護(hù)。DDoS原生防護(hù)為云產(chǎn)品IP提供針對(duì)DDoS攻擊的共享全力防護(hù)能力,即時(shí)生效。

DDoS高級(jí)防護(hù)。針對(duì)大流量DDoS攻擊,建議使用阿里云DDoS高防服務(wù)。

游戲盾。游戲盾是針對(duì)游戲行業(yè)常見(jiàn)的DDoS攻擊、CC攻擊推出的行業(yè)解決方案。相比于高防IP服務(wù),游戲盾解決方案的針對(duì)性更強(qiáng),針對(duì)游戲行業(yè)的攻擊防御效果更好、成本更低。

應(yīng)當(dāng)避免的事項(xiàng):

DDoS攻擊是業(yè)內(nèi)公認(rèn)的行業(yè)公敵,DDoS攻擊不僅影響被攻擊者,同時(shí)也會(huì)對(duì)服務(wù)商網(wǎng)絡(luò)的穩(wěn)定性造成影響,從而對(duì)處于同一網(wǎng)絡(luò)下的其他用戶業(yè)務(wù)也會(huì)造成損失。

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)共享環(huán)境,需要多方共同維護(hù)穩(wěn)定,部分行為可能會(huì)給整體網(wǎng)絡(luò)和其他租戶的網(wǎng)絡(luò)帶來(lái)影響,需要您注意:

避免使用阿里云產(chǎn)品機(jī)制搭建DDoS防護(hù)平臺(tái)。

避免釋放處于黑洞狀態(tài)的實(shí)例。

避免為處于黑洞狀態(tài)的服務(wù)器連續(xù)更換、解綁、增加SLB IP、彈性公網(wǎng)IP、NAT網(wǎng)關(guān)等IP類產(chǎn)品。

避免通過(guò)搭建IP池進(jìn)行防御,避免通過(guò)分?jǐn)偣袅髁康酱罅縄P上進(jìn)行防御。

避免利用阿里云非網(wǎng)絡(luò)安全防御產(chǎn)品(包括但不限于CDN、OSS),前置自身有攻擊的業(yè)務(wù)。

避免使用多個(gè)賬號(hào)的方式繞過(guò)上述規(guī)則。

點(diǎn)擊下方圖片可購(gòu)買阿里云云安全acp認(rèn)證網(wǎng)絡(luò)課程,個(gè)性化服務(wù),為你的升職加薪之路助力?。?!
aq.png

熱門(mén):阿里云ACP認(rèn)證考試費(fèi)用 | 阿里云ACP認(rèn)證方向 | 阿里云ACP認(rèn)證證書(shū)有效期

推薦:阿里云ACP認(rèn)證視頻課程 | 阿里云ACP認(rèn)證網(wǎng)絡(luò)課堂 | 阿里云ACP認(rèn)證考試大綱下載 | 阿里云ACP網(wǎng)絡(luò)班招生方案

更多資料
更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請(qǐng)考生以權(quán)威部門(mén)公布的內(nèi)容為準(zhǔn)!

阿里云認(rèn)證備考資料免費(fèi)領(lǐng)取

去領(lǐng)取
阿里云認(rèn)證熱門(mén)課程推薦

  • 云計(jì)算acp工程師直播課程

  • 云安全acp工程師直播課程

  • 大數(shù)據(jù)acp工程師直播課程

專注在線職業(yè)教育23年

項(xiàng)目管理

信息系統(tǒng)項(xiàng)目管理師

廠商認(rèn)證

信息系統(tǒng)項(xiàng)目管理師

信息系統(tǒng)項(xiàng)目管理師

學(xué)歷提升

!
咨詢?cè)诰€老師!