【最佳实践】DDoS防护解决方案

原创

开元

发布于 2020-10-25 19:35:12

4.1K0

发布于 2020-10-25 19:35:12

随着技术和黑色产业链的发展，DDoS攻击的成本越来越低，同时攻击多个环节逐渐自动化，无需人工参与。同时随着各行各业信息互联网话，DDoS的攻击面也越来越多，因此任何需要通过网络提供服务业务系统，都应该考虑对DDoS攻击防护安全考虑。虽然DDoS防护会增加相应的运营成本，攻击期间业务中断，大多数场景投入成本是值得。

本文不同业务场景，分别提出不同解决方案。在介绍方案之前，首先给大家简单介绍腾讯云提供高防能力以及之间区别。

产品名称	使用范围	接入方式	防护能力	付费情况	配置特征
基础防护	仅限于腾讯资源	无需配置	普通客户 2G VIP客户10G	免费	无需配置，自动开始防护
高防包	仅限于腾讯云北京，上海，广州地域资源	高防包绑定防护IP资源，原先业务流量路径不变	30G（保底）100G（共享上限）	付费	业务无需变更同时无影响，业务IP直接绑定高防包即可
高防IP	面向业务部署国内地域（包括自建IDC以及其他云厂家资源）	通过高防 IP 进行代理后，转发至后端源站 IP	大陆地区防护：BGP线路300G 三网线路1T 海外防护能力：400G	付费	业务无影响，但需要如下配置 1.业务流量解析到高防IP 2.配置转发规则

场景一：历史攻击频率较低，攻击流量高于30G。

首先业务系统有感知攻击和封堵的能力，实时了解感知业务安全防护情况。具体腾讯云控制台配置告警，详见下图：

场景描述	指标
攻击频率	低
攻击流量	普通客户流量高于2G低于30G,VIP客户流量高于10G低于30G
资源归属	防护IP仅限于腾讯云资源

解决方案：高防包
业务改造	0改造
业务影响	0影响
操作步骤	配置简单快捷，控制台对防护绑定高防包即可
待提升	防护能力低，30G保底防护，超过30G攻击流量，恢复时间不可控，需要人工救火。

场景二：历史攻击频率居中，攻击流量低于300G

场景描述	指标
攻击频率	居中
攻击流量	超过30G,低于300G
资源归属	在腾讯云或者自建IDC
业务延时	不敏感

解决方案：BGP高防IP
业务改造	权威DNS修改解析，高防IP为业务入口
业务影响	业务延时增加20ms
操作步骤	1.高防控制台配置转发策略接入 2.源站有白名单，需要将高防IP回源地址段加入白名单内 3.针对端口转发场景，业务侧有获取用户端IP地址需求，需要在源站（LINUX）安装TOA插件
待提升	1.防护能力上限300G，攻击流量超过300G,业务恢复时间不可用，需人工救火 2.业务延迟20ms

场景三：历史攻击频率较高，攻击流量低于1T

场景描述	指标
攻击频率	较高
攻击流量	低于1T
资源归属	在腾讯云或者自建IDC
业务时延	非常敏感

解决方案:高防包，BGP高防IP,三网高防IP，智能调度
业务改造	权威DNS修改解析，智能调度CNANE为业务入口
业务影响	无攻击的时候，业务无影响，出现攻击封堵时候，业务调度到高防IP会增加20ms延时
操作步骤	1.CLB VIP-1绑定高防包 2.BGP高防IP地址和三网高防IP配置接入规则针对CLB VIP-2，如果源站有白名单机制，需要将高防IP地址加白 3.配置智能调度，第一优先级为VIP-1.其次为BGP高防IP，最后为三网高防IP地址 4.针对端口转发场景，业务侧有获取用户端IP地址需求，需要在源站（LINUX）安装TOA插件
风险点	业务恢复依赖于运营商DNS TTL时间