全球云服务DDoS攻击防御实践

1、全球云服务DDoS攻击防御实践分布式拒绝服务攻击DDoS (Distributed Denial Of Service) Attacking攻击者会使用大量广泛分布 的僵尸网络、肉机等发起对 目标的攻击。其来源分布一般比较分散， 因此难以简单防范。0500100015002000250020072008200920102011201220132014201520162017201820192020DDoS 攻击规模 Mirai AttacksMemcached AttacksLargest DDoS Attacks (Gbps) CLDAPAttacksQ1 2019Q4 2019Q1 202

2、0攻击事件总数253231282582310954最大攻击流量(Tbps)最大攻击报文速率(Mpps)260.1282.2293.1最大攻击请求次数(Mrps)11.580.69DDoS 攻击趋势数据来源：AWS Shield Threat Landscape Report Q1 2020/2020-Q1_AWS_Shield_TLR.pdfAWS Shield每天检测和缓解的DDos攻击数量日期：2020/7/23DDoS 攻击的种类DDoS 攻击的类型 1 网络层攻击765432数据Data数据Data数据Data段Segments包Packets帧Frames比特Bit

3、s1应用层数据传输协议表示层数据格式与加密会话层开始、控制和结束会话传输层端到端的网络数据流网络层源和终点之间建立连接数据链路层单个链路上如何传输数据物理层将信息编码成电或者光巨流量 DDoS 攻击：带宽消耗通过超过你的处理能力的流量 来撑爆你的网络例如，UDP反射攻击 （UDP Reflection ）DDoS 网络层攻击方法UDP 反射攻击攻击者受害者源= 目的 = 2NTP DNS SNMP SSDPMemcached反射器 (NTP servers)2NTP556DNS28.7 54.6SSDP30.8SNMP6.3Memcached50000带宽放大因子（BA

4、F, Bandwidth Amplification Factor）协议理论 BAF攻击者不直接把攻击包发给受害者，而是冒充受害者给反射器发包，然后再反射给受害者。76应用层数据传输协议表示层数据格式与加密5432数据Data数据Data数据Data段Segments包Packets帧Frames比特Bits1会话层开始、控制和结束会话传输层端到端的网络数据流网络层源和终点之间建立连接数据链路层单个链路上如何传输数据物理层将信息编码成电或者光DDoS 攻击的类型 2 传输层攻击状态耗尽 DDoS 攻击：协议耗尽滥用协议的一些弱点，试图压垮系统（如防火墙，负载均衡等）例如 TCP SYN 泛洪（

5、SYN Flood）DDoS 传输层攻击方法 SYN FloodSYN flood 或称 SYN 泛洪、SYN 泛洪是一种阻断服务攻击，起因于攻击者传送一系列 的 SYN 请求到目标系统攻击者受害者spoofed SYN PacketSYN-ACKSYN-ACKSYN-ACK?SYN-ACK?12765432数据Data数据Data数据Data段Segments包Packets帧Frames比特Bits1应用层数据传输协议表示层数据格式与加密会话层开始、控制和结束会话传输层端到端的网络数据流网络层源和终点之间建立连接数据链路层单个链路上如何传输数据物理层将信息编码成电或者光DDoS 攻击的类型

6、 3 应用层攻击应用消耗使用格式良好但恶意的请求来规避防御，并消耗应用程序资源例如 HTTP GET 泛洪（GET Flood）、 DNS 查询泛洪（DNS Query Flood）DDoS 应用层攻击方法 HTTP 攻击受害主机攻击者HTTP GET 泛洪 (GETGETGETGETGETGETG-E慢速攻击 Slowloris-T慢攻击工具的原理就是想办法让服务器等待，当服务器在保持连接等待时，自然就消耗了资源。DDoS 攻击方法分类流量攻击状态攻击应用攻击73%流量攻击18%状态攻击16%应用攻击如何防护和缓解DDos攻击基础设施Region级别更大的带宽AWSRegiontransit

7、transittransit更多的计算资源transitAWSRegiontransittransit基础设施更多边缘节点transitAWSRegiontransittransitAWSEdgeAWSEdgeAWSEdgeRoute 53 CloudFront AGA基础设施transitAWSRegiontransittransitAWSEdgeAWSEdgeAWSEdgeAmazon CloudFront Amazon Route 53攻击者攻击者攻击者了解详情，请访问：/whitepapers/Security/DDoS_White_Paper.pdf通 过 Amazon Route

8、53 的 Anycast Striping 和 Amazon CloudFront Edge Locations , 更多边缘节点，攻击被抵销云原生的DDos防护服务云原生DDos防护的优势数据中心防护，需要高昂 的硬件成本、维护成本和 专业的防护知识云路由防护，黑盒解决 方案-可能会导致延迟、 额外的故障点、增加运营成本云原生防护，提供自动的 在线防护、近源防护， 简单、灵活、高效游戏玩家Amazon CloudFrontAmazon Route53Elastic Load BalancingDDoS 攻击DDoS 防御能力已内置集成到 AWS 的网络服务（CloudFront, Route

9、53, ELB,AGA .）；DDoS 防御一直开启，快速抵御，无需人工干预或进行外部 路由；充分利用 AWS 数据中心的冗余互联网连接和超高带宽；自动抵御最常见的攻击，如：SYN/ACK 泛洪、UDP 泛洪、 反射攻击等；无需额外费用。AWS 全球基础架构已内置 DDoS 防御能力（ AWS Shield Standard ）AWS ShieldAWS Shield Advanced提供更加全面的 DDoS 抵御服务增强检测检测定向到受保护的EIP、ELB、CloudFront、AGA或Route 53 资源的攻击流量，可以检测 HTTP 洪泛或DNS 查询洪泛等L7层攻击攻击通知通 过 A

10、mazon CloudWatch 实时监控与 通知攻击，针对攻击取证 和数据包捕获。DRT 团队全天候 DDoS 响应小组DDoS Response Team（DRT），定制化的缓解 策略。攻击前、攻击中、 攻击后的DRT介入账单保护AWS 承担因为 DDoS攻 击 产生的相关资源成本Amazon CloudFrontELB/NLBAmazon Route 53游戏服务常见的受攻击点容易受到 DDoS 攻击影响的游戏服务后台服务Backend Service游戏服务Game Service用户认证会话发现匹配系统排行榜游戏服务器实时游戏会话游戏代理服务器队伍文字 & 语音聊天内容分发特别是功能

11、服务层的聊天，商城， NPC ，钱包，道具， 排行榜，用户数据等全局服务受到影响时使用户体验不佳普通玩家游戏客户端配对和会话发现连接到游戏服务器请求操作 - 登录，游 戏会话，配对等玩家数据库后台服务 服务器数据中心玩家数据访问会话存储会话请求游戏服游戏会话结果和玩家技能更新攻击者被控制的设备攻击者被控制的设备会话数据 访问会话发现/ 管理服务器游戏服务的攻击点如何缓解 DDoS 攻击 针对 HTTP/HTTPS 攻击ELB使攻击面最小化创建 DMZ 区，将攻击阻挡在外层 并通过 Security Group 限定进入流量SSH BastionNAT GatewayEdge locationR

12、oute 53AWS ShieldELBCloudWatch保护暴露的资源Web Application Firewall 检测并过滤 应用层流量 HTTP & HTTPS定制 AWS WAF 规则 , SQLi, XSS, 限速机制 , 黑名单WAF针对 HTTP Flood, AWS 提供的 DDoS 防御能力自动扩展应对攻击通过自动扩展与快速分布的资源， 将攻击威力分散与减弱对攻击制订对应策略对服务正常的行为模式了如指掌 , 对于 异常状况就能快速反应典型防护部署架构Amazon Route 53Amazon CloudFrontAWS WAFAmazon API GatewayDDoS

13、AttackUsersAWS CloudVPCPrivate subnetAmazon EC2 Autoscaling groupWeb Application Security GroupPublic subnetApplication Load BalancerALB Security Group如何缓解 DDoS 攻击 针对 TCP 与 UDP 攻击使用 TCP 协议的 Game Server , 建议的 DDoS 防御措施正确设置安全组及 VPC Network ACLs , 禁用 UDP/ICMP 以及用不到的 TCP 端口免费的 UDP 泛洪和反射攻击防护，以及 ICMP 泛洪Am

14、azon VPC使用 ELB/NLB 可以帮助支撑更多的 SYN Flood 流量，更大的吞吐和包处理能力AWS ELBAmazon Linux 默认打开 SYN Cookie (net.ipv4.tcp_syncookies = 1)提供很高的小包吞吐能力吸收 SYN 泛洪，ACK 泛洪Amazon EC2AWS Shield Advanced 能够提供 SYN 限速的功能AWS Shield AdvancedAWS Shield Advanced 对弹性 IP 提供保护在关联到面向 Internet 的 EC2 实例或 NLB 的 AWS 弹性 IP 地址上启用 AWS Shield Ad

15、vancedAWS Shield 已於弗吉尼亚北部、俄亥俄、俄勒冈、 加利福尼亚北部、蒙特利尔、圣保罗、爱尔兰、 法兰克福、伦敦、巴黎、斯德哥尔摩、新加坡、 东京、悉尼、首尔和孟买提供保护Byte Match 、针对特定的 Magic Salt 进行 白名单，其余UDP包抛弃可指定端口，针对来源IP进行限流AWS ShieldClient trafficDDoS trafficAWS ApplicationsAWS Global AcceleratorAWS Global Accelerator + AWS Shield ， 将DDoS攻击防御在边缘端云原生的游戏安全防御解决方案35自动定制化

16、WAF规则解决方案Amazon API Gateway游戏客户端客户端连接到专用游戏服务器独立的游戏 服务器AWSLambdaAmazon DynamoDB会话管理操作AWS CloudAWSLambda请求持久化会话请求Amazon Route 53 GeoDNS RoutingAmazon CloudFrontAWS WAFAWSShield弹性 IP自动化 安全组 解决方案VPC Flow Logs访问日志AWSLambda修改安全组/ACL公有子网VPC流量日志安全组规则/NACLsVPC修改安全组/ACL游戏服务应对DDos攻击的最佳实践总结架构层面通过规模先行防御最开始的冲击最小化攻击面、提升系统弹性伸缩能力使用更大的实例类型（例如具有增强网络功能的计算 优化实例）来提高单个实例的性能。记录经过身份验证的来源，在受攻击期间创建“信任 列表”，记录业务流量自动将日志解析到Ama