MENU

低成本百Gbps DDoS/CC攻击防护实现

October 16, 2017 • Security

好文章,来自: 百姓网技术团队

防护实现

防护体系

防护实现通过以下几个核心工具组合而成:

  1. 智能 DNS:国内常用 CloudXNSDNSPod等;
  2. 境外流量清洗服务:本案例选择了 OVH,还有例如 Voxility等供应商可以选择;
  3. 国内 CDN 服务:需要支持超出带宽峰值自动回源和单 IP QPS 限制;
  4. 金盾防火墙:提供 CC 攻击过滤和防护;

调度策略

640.jpg

页面内容:

  • 同时放置在国内静态文件服务和境外高防的静态文件服务之上;
  • CDN 回源请求页面内容并提供访问服务;国内和国外静态文件服务有两个 DNS 记录进行解析;

正常服务时:

  • DNS 解析大陆访客到大陆 CDN 访问,海外访客到 OVH 进行访问;

遇到攻击时:

  • 流量超出 CDN 预设的带宽峰值回源,直接回源到 OVH 地址进行流量清洗和防护;

以上策略实现了正常状态下的具有良好的访问体验,被攻击时保证页面可以正常浏览。 从国内高防服务完全迁移到国外前后使用了近一个月的时间,为了验证国外服务的可靠性和清洗能力,对迁移期间遭到的若干次攻击做了手动调度,即发现攻击后将流量全部迁移到国外,即时监控国外服务的清洗情况和服务质量并进行调整优化。

在使用 OVH 进行 DDoS 防护的时候需要注意,OVH 对流量清洗的能力令人较为满意,但是面对 CC 攻击 OVH 并不能良好地作出防御。所以需要手工对 OVH 进行 CC 攻击的加强防御。本案例使用了金盾防火墙来实现 CC 攻击的防御。如果遇到更大量级的 CC 攻击,则需要更多的主机实例或使用硬件混合云的架构实现更强的防护能力。

总结

最终采用的具体方案和支出情况:

640 (1).jpg

上述方案每月支出不到人民币 1000 元,远小于使用国内通用高防月均万元的支出。至今已经稳定运行了 4 个月,业务不可用时间小于 1 小时/月,基本可以满足当前遇到的攻击防护需求,同时也具备必须的扩展能力,可以在一周内实现防护能力和访问体验的提升:

  1. 对更大量级的 CC 攻击: 横向扩展更多的金盾实例,或使用混合云方式部署硬件清洗设备;
  2. 中国大陆访问优化: 欧洲中立数据中心结合混合私有云实现调整回程路由或 BGP 接入中国运营商(实现欧洲到上海/北京 RTT 小于 200ms,1‰ 以内丢包率)
Archives QR Code
QR Code for this page
Tipping QR Code