423
windows
聊一聊負載均衡SLB的DDoS防護
眾所周知,DDoS(分布式拒絕服務攻擊)攻擊是當前互聯網上最常見,卻最難以防範的一種攻擊,其基本原理是黑客通過發動成千上萬的肉雞,在短時間內對被攻擊目標發起海量訪問,大量占用被攻擊目標的服務資源,使得正常的業務訪問無法進行,具有危害大、成本低、防範難等特點。阿裏雲公網產品的一大特點就是有默認DDoS安全防護,包括彈性IP、負載均衡SLB、NAT網關等均有覆蓋,今天就以SLB產品為例聊一聊阿裏雲提供的DDoS防護功能。
如上圖所示所有來自Internet的流量都要先經過雲盾再到達負載均衡SLB,雲盾會針對常見的攻擊進行清洗過濾,包括: SYN Flood 、ACK Flood、UDP Flood、ICMP Flood、連接攻擊及畸形報文過濾和流量攻擊等。
下麵我們詳細介紹一下雲盾是如何防範流量攻擊的,這裏有二個概念和三個閾值需要讀者了解:
兩個概念
1.清洗:當來自Internet的攻擊流量較大或符合某些特定攻擊流量模型特征時,雲盾將會針攻擊流量啟動清洗操作,清洗包括攻擊報文過濾、流量限速、包限速等
2.黑洞:當來自Internet的攻擊流量非常大時,為保護整個集群的安全,流量將會被黑洞處理,可以理解為所有入流量全部被丟棄
參考閱讀阿裏雲黑洞策略
三個閾值
1.BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗
2.PPS清洗閾值:入方向數據包數超過了PPS清洗閾值時,觸發清洗
3.黑洞閾值:入方向流量超過黑洞閾值時將觸發黑洞
了解以上概念後,用戶一定會有如下疑問:
1.正常業務流量會不會被清?
2.清洗和黑洞的閾值又分別是多少呢?
3.用戶如何知道某個實例當前的閾值是多少呢?
首先回答下第一個問題。流量清洗的觸發條件有兩類,一類是流量模型的特征,當特征符合攻擊流量特征時,會觸發清洗;另一類則由流量的大小而決定,因為DDoS攻擊一般流量都非常大,通常都是以G為單位,因此當入流量達到一定閾值時,就會啟動清洗的,不論是否正常業務流量,畢竟有些DDoS服務就是通過發起海量的正常業務請求來實現拒絕服務攻擊的。
下麵介紹一下上麵的三個閾值時如何確定的,同樣使用SLB來說明:
總體來說有兩個比較基本的原則:
1.根據SLB實例所購買的帶寬來決定閾值的高低,即SLB的出方向帶寬,當實例的帶寬較高時,各類閾值較高,同理,當實例的帶寬較低時,各類閾值響應的會變低。
2.根據用戶的安全信譽分來決定黑洞閾值的高低(注意安全信譽分僅影響黑洞閾值,不影響清洗閾值)
具體的計算規則分為兩個步驟:
Step.1.SLB後台會根據用戶購買的帶寬給出能夠滿足實例正常工作的閾值建議值
Step.2.雲盾根據SLB給出的建議值,結合用戶安全信譽分和各地域的資源情況,計算出最終的閾值
Step.1.SLB參考閾值的計算方法
1.SLB帶寬與bps清洗閾值之間的關係
當SLB帶寬<100Mbps時,清洗bps默認閾值 = 120Mbps
當SLB帶寬>100Mbps時,清洗bps默認閾值 = 帶寬值*1.2
2.SLB帶寬與pps清洗閾值之間的關係
清洗pps閾值 = (SLB帶寬值/500)*150000 (帶寬值Mbps)
3.SLB帶寬與黑洞bps閾值之間的關係
當SLB帶寬<1Gbps時,黑洞bps默認閾值 = 2Gbps
當SLB帶寬>1Gbps時,黑洞bps默認閾值 = MAX(SLB帶寬值*1.5,2G)
** 可以看到SLB給出的建議值是結合SLB的購買帶寬(出方向帶寬)來決定的,當帶寬比較小時,采用某一個恒定的閾值,當帶寬超出一定範圍後,SLB給出的建議閾值時與SLB的帶寬成正比的。**
注意:上麵提到的SLB的帶寬都是指出方向帶寬,即用戶購買的帶寬,那麼如果用戶購買的是按流量計費的實例,出帶寬是多少呢?答案是:實例所在地域所支持的帶寬峰值上限,目前國內地域都帶寬上限都是峰值5G,詳見後文的**各地域SLB帶寬上限和黑洞資源情況**。
什麼是安全信譽分,怎麼查看
什麼是安全信譽分:安全信譽分是阿裏雲對用戶的安全信譽做出的評級,曆史攻擊、會員等級、活躍度、安全等級、使用預期等指標綜合給出的一個信用評級,用戶的安全信譽等級越高,用戶則可以擁有更大的免費黑洞閾值。
用戶可以DDoS高防IP控製台的基礎防護子菜單下啟動並查看自己的安全信譽分,注意安全信譽值分地域,目前國內5大Region和亞太東南1開通了安全信譽
Step.2.雲盾結合安全信譽分、地域資源情況和參考值計算最終閾值
雲盾評估bps和pps閾值的規則:
1、bps最小1000M,pps最小30萬,當SLB傳入的參考閾值小於上述值時,取上述最小值
2、當SLB傳入的參考值高於上述指標時,取SLB傳入的參考閾值
雲盾評估黑洞閾值的規則
黑洞閾值等於
1、信譽值:有信譽分&&傳入值<=信譽值
2、傳入值:有信譽分&&傳入值>信譽值&&傳入值<=區域最大值
3、信譽值:有信譽分&&傳入值>信譽值&&信譽值>=區域最大值
4、區域最大值:有信譽分&&傳入值>區域最大值&&信譽分<區域最大值
5、區域默認值:無信譽分&&傳入值<=區域默認值
6、傳入值:無信譽分&&傳入值>區域默認值&&傳入值<=區域最大值
7、區域最大值:無信譽分&&傳入值>區域最大值
8、區域默認值:其他情況
雖然上麵的規格略有複雜,但是用戶隻需要把上麵提到的總體原則即可:
1.根據SLB實例所購買的帶寬來決定閾值的高低,即SLB的出方向帶寬,當實例的帶寬較高時,各類閾值較高,同理,當實例的帶寬較低時,各類閾值響應的會變低。
2.根據用戶的安全信譽分來決定黑洞閾值的高低(注意安全信譽分僅影響黑洞閾值,不影響清洗閾值)
如何查看清洗、黑洞閾值
同樣在DDoS高防IP控製台的基礎防護子菜單下用戶可以查看到每個實例相關的閾值
注意上圖中展示的清洗閾值都是實例的最大閾值,用戶可以相應的調小(黑洞閾值不可調)
點擊上圖中的查看詳情,在點擊下圖中DDoS防護高級設置,既可以將對應的閾值調整小,適應各種業務的安全需求
選擇手動設置,就可以調低響應的閾值了
附:各地域SLB帶寬上限和黑洞資源情況
| 地域 | SLB可售賣最大帶寬/按流量實例帶寬 | 默認黑洞值 | 默認最大黑洞值 |
|---|---|---|---|
| 青島 | 5G | 5G | 10G |
| 杭州 | 5G | 5G | 10G |
| 北京 | 5G | 2G | 10G |
| 上海 | 5G | 2G | 10G |
| 深圳 | 5G | 2G | 10G |
| 張北 | 5G | 2G | 10G |
| 香港 | 2G | 500M | 5G |
| 美東 | 1G | 500M | 2G |
| 美西 | 2G | 2G | 5G |
| 日本 | 1G | 500M | 1G |
| 新加坡 | 2G | 500M | 5G |
| 悉尼 | 1G | 1G | 2G |
| 迪拜 | 500M | 500M | 800M |
| 法蘭克福 | 1G | 500M | 2G |
注意:用戶的安全信譽如果較高,安全信譽黑洞閾值是可以突破上表中的默認最大黑洞值的
最後更新:2017-09-26 13:02:49