高防云主机解决方案

来源: 广东坤通科技有限公司  日期:2013-03-26  点击:3118  属于:解决方案
  1. 方案概述
坤通高防云服务器主机,支持全业务抗DDoS防护,集成了业界领先的DDoS防御能力和专业化的主机防入侵功能,解决云主机面临的流量攻击、病毒勒索、恶意挖矿、暴力破解、漏洞攻击等安全问题,为用户提供独享防护资源,以应对大规模的攻击事件;提供数据中心和私有云多活部署,GSLB,业务流自动切换,无论应用部署在哪里,都能够实现统一的安全策略(单点登录(SSO),应用防火墙(WAF))。
坤通高防服务是针对互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下的增值防护服务。该服务可为客户提供DDoSCC等攻击的防护能力,可防护SYN FloodACK FloodUDP FloodICMP Flood、连接耗尽攻击、DNS Request/Response FloodHTTP Get/Post Flood37层的攻击。
DDoS高防服务采用分层防御、分布式清洗,通过精细化多层过滤防御技术,可以有效检测和过滤攻击流量。网络拓扑示意图如下:

1.  网络拓扑示意图

对于系统和数据提供全面的防护,支持持续数据保护(CDP,最强大之处在于数据保护无处不在,从底层的操作系统到数据库、应用系统,支持vmware/hyper-v/openstack/KVM等虚拟化技术云平台,提供全生态的高防云主机
  1. DDos攻击主要方式
分布式拒绝服务(Distributed Denial of Service,简称DDoS)指借助于客户机/服务器模式,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的许多计算机上安装了代理程序。在所设定的时间,主控程序将与大量代理程序进行通讯,代理程序收到指令时就发动攻击。利用客户机/服务器模式,主控程序能在几秒钟内激活成百上千次代理程序的运行。
常见的DDoS攻击类型包括畸形报文、传输层DDoS攻击、DNS DDoS攻击、连接型DDoS攻击、Web应用层DDoS攻击。
 
  • 畸形报文
畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。
畸形报文主要包括以下类型:Frag FloodSmurfStream FloodLand FloodIP畸形报文、TCP畸形报文、UDP畸形报文。
 
  • 传输层DDoS攻击
传输层DDoS攻击主要是指Syn FloodAck FloodUDP FloodICMP FloodRstFlood等攻击。
Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。
 
  • DNS DDoS攻击
DNS DDoS攻击主要是指DNS Request FloodDNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击。
DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。
 
  • 连接型DDoS攻击
连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、LoicHoicSlowloris PylorisXoic等慢速攻击。
Slowloris攻击为例,其攻击目标是Web服务器的并发上限,当Web服务器的连接并发数达到上限后,Web服务即无法接受新的请求。具体来说,Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接;如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理;而当所有连接都处于连接状态时,Web将无法处理任何新的请求。
Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以rnrn标识Headers的结束,如果Web服务端只收到rn,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。
 
  • Web应用层DDoS攻击
Web应用层攻击主要是指HTTP Get FloodHTTP Post FloodCC等攻击。
通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。
Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。
由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。
CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。
坤通科技作为行业先行者,坤通云主机免费为用户提供最高5G的默认D防护能力,并推出了安全信誉防护联盟,将基于安全信誉分进一步提升DDoS防护能力,用户最高可获得更高的DDoS防护流量。
  1. 总体方案架构
架构能解决(包括但不限于):
  • 突发大流量DDoSCC攻击
  • 病毒勒索、木马攻击、恶意挖矿
  • 暴力破解,恶意扫描和爬虫行为
高防是企业重要业务连续性的有力保障,用户可以通过修改DNS解析或对外服务地址为高防IP,将恶意攻击流量引流到高防IP清洗,保护对外IP地址不被(无法访问),确保重要业务不被攻击中断。可服务于私有云、公有云及IDC的互联网主机。
未接入高防IP
未接入高防IP时,源站直接对互联网暴露,一旦发生DDoS攻击,很容易导致源站瘫痪

2.  未接入高防IP
接入高防IP后:
使用高防服务后,把域名解析到高防IPWeb业务把域名解析指向高防IP,非Web业务把业务IP替换成高防IP),接入高防IP后,所有访问经过高防IP过滤。

3.  接入高防IP

DDoS高防服务通过高防IP代理源站IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如下:

图4DDoS高防引流和转发

客户访问源站(用户业务)的客户,源站服务器所使用的公网IP,也是被防护的IP地址,应避免对外暴露(泄露)。使用高防服务后,IP被隐藏,与源站IP相对应,用于代替源站IP来面向客户提供服务,使源站IP不直接暴露出去。
回源IP是高防机房代替客户去和源站服务器通信的若干个IP地址(高防机房会将客户的IP随机转换成某个回源IP,并由这个回源IP代替客户IP去和源站服务器通信)。

图5攻击及清洗

图6高防服务原理简介

图7D架构设计

图8. D云平台设计

图9. 数据保护技术
 
  1. 平台特点

4.1 全方位防护

    网络七层+用户/终端全面防护,全代理架构,3-7层的业务可视化,对业务进行控制,防护情况快速可见。业内领先的AI云查杀引擎、海量恶意样本库和DDoS防护资源、先进的检测和防御算法、高可用的产品架构。与普通的IDCIntegrated Data Center)机房或服务器厂商相比,坤通提供的高仿云服务器具有高可用性、安全性和弹性的优势。
坤通高仿云服务器通过了多种国际安全标准认证,包括ISO27001MTCS等。安全合规性对于用户数据的私密性、用户信息的私密性以及用户隐私的保护力度都有非常严格的要求。
另外在网络建设方面,推荐您使用专有网络VPC。专有网络提供了稳定、安全、快速交付、自主可控的网络环境。对于传统行业以及未接触到云计算的行业和企业而言,借助专有网络混合云的能力和混合云的架构,将享受云计算所带来的技术红利。

4.2 弹性防护

    防护阀值支持动态调整,可随时根据业务情况调整防护级别,整个过程业务无中断,保障业务访问持续性。
云计算最大的优势在于弹性与灵活性。坤通科技拥有在数分钟内创建出一家中型互联网公司所需要的IT资源的能力,保证了大部分企业在云上所构建的业务都能够承受巨大的业务量压力。
坤通高仿云服务器的弹性体现在计算的弹性、存储的弹性、网络的弹性以及您对于业务架构重新规划的弹性。您可以使用任意方式去组合业务,阿里云都能够满足您的需求。

4.3 快速检测威胁

精准识别秒级防护、支持外部源站、大流量攻击防护、多协议支持、安全省心快速进入、按需购买动态调整、专业支持快速响应。基于签名和应用规则,快速检测4种常见攻击类型,当对业务了解更深的专业人士,甚至可以减少未知的攻击类型的攻击,快速的决策,低误报率。采用业界领先的检测及防护技术,可检测并防护HTTPTCPUDP等多种协议。

4.4 启发式流量分析

善于分辨“正常”流量和“恶意”流量 ,对于超出基线的流量,进行应用分析,快速抵挡多种途径的DDoS攻击。自动识别客户的资产信息,统一可视化管理,实时识别、分析、预警安全威胁,帮助客户实时掌握资产风险状况。

4.5 源端隐藏技术

对主机的源端进行隐藏和替换,使用高防安全点对外发布应用,使攻击流量无法直达源站,增加源站安全性。

4.6 应用场景丰富

应对各种复杂和多类型的安全威胁攻击,防护大流量的攻击、病毒勒索、恶意挖矿、及时预警现网0Day漏洞,结合安全攻防和实战经验,提供全方位的业务接入支持,及时响应现网安全漏洞,修复闭环。在抵御大规模的DDoS攻击、防止病毒勒索和恶意挖矿、智能化的威胁风险扫描、满足等保合规的安全要求等应用场景提供防护功能

4.7 多类型防护

防护分类 描述
畸形报文过滤 过滤 frag floodsmurfstream floodland flood 攻击,过滤 IP 畸形包、TCP 畸形包、UDP 畸形包。
网络层 DDoS 攻击防护 过滤 UDP FloodSYN FloodTCP FloodICMP FloodACK FloodFIN FloodRST FloodDNS/NTP/SSDP 等反射攻击、空连接。
应用层 DDoS 攻击防护 过滤 CC 攻击和 HTTP 慢速攻击。
 
  1. 功能描述

5.1 DDoS/CC攻击防护 :

择优近源清洗:依托国内及海外多个的全球化清洗中心布局,为单用户提供T级防御能力,用户业务可基于地域进行择优近源接入清洗中心

支持WAF/CC防护:识别并阻断SQL注入、XSS跨站脚本攻击、CC攻击、恶意爬虫扫描、CSRF等攻击,保护Web服务安全稳定

网络型攻击防护功能:SYN FloodACK FloodUDP FloodICMP FloodDNS FloodRST FloodConnection FloodSockStress等类型攻击进行清洗

Web应用攻击防护功能:支持HTTP Get/Post FloodHTTPS FloodHTTP慢速攻击、HTTP重传攻击、HTTP劫持攻击、WordPress反射攻击、RUDYLOIC
 

5.2 弹性带宽防护 :

保底带宽:保底带宽以较低的费用保证客户业务的基本带宽安全,支持20-600G起保底带宽购买,可随时进行保底带宽升级
弹性带宽:弹性带宽用于保障在异常突发流量情况下客户业务的稳定可靠,支持20-600G弹性带宽选择,可定制更大防护能力

5.3 全业务支持:

支持多转发规则:支持用户配置50条转发规则,每条规则可为20个源站提供防护,提高用户业务部署的灵活性
支持流量转发负载均衡:支持对用户流量进行清洗,并将清洗后的流量轮询分发到不同的后端源站服务器上
支持地理位置过滤:支持基于源IP的地理位置配置过滤条件,阻断来自设定的某个国家的源IP访问(可避免国外恶意攻击)

5.4 报表管理

支持对攻击事件、攻击流量的统计,支持自定义时间查看攻击报表。
  1. 应用场景/领域
DDoS高防服务的主要使用场景包括:娱乐(游戏)、金融、政府、电商、媒资、教育(在线)等行业。
  • 娱乐(游戏)
娱乐(游戏)行业是DDoS攻击的重灾区,高防IP能保证游戏的可用性和持续性,提高用户体验,在商家活动、节日游戏等旺季时段提供防护。
  • 金融
满足金融行业的合规性要求,保证线上交易的实时性、安全稳定性。
  • 政府
满足国家政务云建设标准的安全需求,为重大会议、活动、敏感时期提供安全保障,确保民生服务正常可用,维护政府公信力。
  • 电商
为用户访问互联网提供防护,使业务正常不中断,在电商大促等活动时段提供防护功能。
  • 企业
保证企业站点服务持续可用,避免DDoS攻击造成经济和企业形象损失问题,降低维护费用,节省安全成本。

部分应用领域如下:

5.1 门户网站

政府、大企业等门户网站容易成为黑客及恶意竞争者首要攻击目标,尤其在重大活动期间,服务不可用将对品牌形象带来重大影响及客户流失;
DDoS高防服务提供4-7层攻击防御,实时检测、拦截恶意流量,提供99.99%高可用业务保障,为政企门户稳定运行保驾护航。
优势:
  • 4-7DDoS/CC攻击防护
精准可靠的DDoS流量清洗功能,有效防护各类DDoS攻击、应用层攻击
  • 智能AI流量学习,精准防御。
基于黑客攻击机器学习、业务风控大数据智能隔离等AI能力,实现实时、精准防护。

5.2 电商平台

为电商客户提供百万级CC防御,应对恶意竞争者或黑客利用大量“受控主机”发出恶意攻击,避免电商网站无法访问导致业务中断,带来的经济损失以及客户流失,保障在促销活动期间业务稳定
优势:
  • 智能AI防御CC攻击
百万QPSCC防护,基于黑客攻击机器学习、业务风控大数据智能隔离等AI能力,实现实时防护,清洗成功率达99.99%
  • 高防护带宽
IP高防护带宽,保障突发攻击时的业务稳定。

5.3 游戏、交互场景

恶意竞争者或黑客利用大量“受控主机”发起大规模攻击,攻击方式复杂多变,使游戏服务异常,玩家掉线或卡顿,造成极大的收入损失以及大量的玩家流失;DDoS高防为游戏用户提供TDDoS攻击防御及针对游戏类业务CC攻击防御,保障游戏业务流畅,日活数稳步增长。
优势:
  • 单用户T级防御带宽
提供超大防护带宽,满足游戏客户的大流量攻击防御需求。
  • 定制游戏类CC防御
针对游戏业务特征,定制化CC防御策略,有效拦截4-7层恶意流量。
  • 超低业务时延

分布式清洗节点部署,近源接入防护,保障游戏业务的流畅稳定运行。

坤通科技

坤通科技

广东坤通科技有限公司

地址: 广州市天河区高唐路263号805、806 电话:020-85162923

邮件:service@kunton.com 联系人:宋小姐