前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【Edgeone最佳实践】http慢速攻击抵御实战

【Edgeone最佳实践】http慢速攻击抵御实战

原创
作者头像
Ar-Sr-Na
发布2024-11-27 19:26:21
发布2024-11-27 19:26:21
2060
举报
文章被收录于专栏:Ar-Sr-Na

前言

2024年7月到9月间,大部分用户都遭到了来自山西IP的流量攻击,这个流量攻击可不是简简单单的DDoS和CC这种大规模、简单暴力的攻击,而是防不胜防的慢攻击

慢攻击

与常见简单暴力的DDoS、CC不同,慢攻击最显著的特征就是“慢”,DDoS是快,一瞬间成百上千甚至数万个节点暴力刷一台服务器的流量或者请求从而导致瘫痪,而慢攻击则温柔得多,甚至慢到让防御系统认为是正常地访问。打个比方,DDoS是一万个人同时挤进一家饭店点餐,而慢攻击是10分钟一个人,但这一个人把菜单上面所有的菜点了个遍,顺便还点了几百箱酒。

难点

防御它,难就难在它不好检测,传统攻击限流就好了,限流能解决99%的DDoS,毕竟这些攻击太有特征了。而这次大规模慢攻击就有点棘手了,就像上面的例子,如果是DDoS,店员让他们10分钟进来两个就行了,人没走就关门限流,但10分钟一个人,不排除这个人是大胃王能吃吃喝喝那么多,况且我们也不好把他赶出去,他就一直在霸座位,这就是难点了。

不仅占用带宽和服务器资源和平时水平相差无几,连发起攻击的用户都是“白名单”用户,即正常访问的,目标明确的。这就给特征分析带来一定难度。

实例分析

事件经过

我们公司的网站在今年7月15日21点开始,陆陆续续触发每5分钟的流量封顶的80%(即8GB)但也仅仅是提醒,没有做出防御动作,因为这5分钟内还没达到10G的水平,而拦截至少触发10GB,这个10GB是根据我们业务峰值加权平均得到的,过去几个月访问量每小时差不多也在6~8GB左右,而且这个6~8GB是在几分钟内达到峰值,在其余时间段流量很少。之所以被刷流量,是因为eo短时间触发了这个峰值,这点流量到是不怕,怕的就是时间很长,当提醒超过流量阈值的时候,已经过了40分钟了,此时流量已经不见了20GB,直到攻击停止,这段时间陆陆续续刷掉了200GB。

而在被攻击后,合理配置使用eo的拦截功能可以很大程度减少流量损失。

防御措施

根据大家反馈,这次攻击很广泛,但是攻击源很固定,ip属地均来自江西省,那这好办,eo的特定ip拦截直接过滤了

eo防御入门

购买

9.9一个月,至少从开售到今天,价格依旧没变

Edgeone个人版的套餐价是9.9每个月,包含50G流量和300万次请求,而且一个站点内共享这些资源

不过,现在腾讯云有双十一活动,点击这里,Edgeone新用户36元一年起,轻松剩下几百块钱,拼团再送1个月

如果还没有购买的用户,可以前往活动现场低价购买。千万别错过了,还剩最后三天!!!

基础配置

添加域名、解析什么的老套路就不说了,可以跟着引导一步一步来,不难的。

安全配置

ip段拦截

这就是本文的核心了,如何使用eo抵御慢攻击。

即使“大胃王”的胃口很牛,能把服务器资源一遍又一遍地吃下去,但是,这胃未免也太大了,所以,正常情况下我们还是能够识别出来这个“大胃王”不正常的,通过eo安全分析-流量排行可以看单个ip消耗的流量,

像上图这个来自江西的ip段,明显不正常,所以,记下这个ip段,来到安全防护-Web防护-自定义规则处,把这个ip段填写进去

这个配置的意思就是ip触发了这个ip段,就进行拦截。

记得,这些配置一定要启用,并且以站点的级别进行使用,否则将不会生效

速率控制

同样的,在Web防护页面,还有一个防护,那就是限流

根据自己的业务量,来设置合理的范围

eo也提供了自适应模式,来弹性适应访问量变化。

同样地,也可以使用精准速率控制来进行更细致的设置

用量封顶告警

在用量封顶策略处,提供了由速率、请求数和累计流量等维度进行防御

像慢攻击,与流量息息相关,可以开启5分钟内,L7流量超过某个数值停用服务,同样地,需要设置告警阈值,上图则是达到5G后自动发送信息,以告警运维实时关注动态。

一般根据业务来设置,如果像静态网站,资源不多的,流量比较平缓,适合每5分钟监测,因为静态页流量不会太大,如果超过平均值就说明被刷了。类似下载站、视频站这种大文件多的,适合用小时为粒度进行监测,一般没人访问的时候都是没有什么流量的,一访问就是数十G,而且时间比较集中,跟慢攻击比较类似,如果开得太低容易影像正常访问的用户。

一键慢攻击防护

如果购买的是企业版以上,则直接支持慢攻击防护,由eo侧主动识别并检测

优化配置

图片静态资源

前段时间被刷的都是静态资源,譬如图片、音视频等,虽然不大,但是刷的量却很多,我的一张20M的爱莉希雅图片一度刷了半个T,实际上展示在前端,这张图片只需要以1920*1080的缩略图展示就行了,原图达到了5000万像素,所以可以充分利用eo的图片优化功能,先减小图片大小,让流量进一步减少。

毕竟攻击方扫描网站没有那么容易扫描到隐藏起来的静态资源,都是从页面请求拿到的。

告警

做出防御的前提是知道攻击,一定要记得开启相关配置告警,尤其是用量封顶,等出现异常时才能及时响应

总结

Edgeone(EO)边缘安全加速的“安全”,确实为站长提供了可靠的保障,7~9月间的那次攻击,从发现到拦截仅用了几分钟,每天更新ip段,更新也只用动动手指,至少为我们拦下了1.3个T的流量,每天拒绝服务的请求数已超过50万次,确实是安全可靠性价比高的产品。

如果还没有购买的,可以趁现在,点击这里进入腾讯云双十一活动进行购买。

慢攻击难在难识别,虽然个人版没有提供慢攻击防护的功能,大家还是可以根据流量特征,异常用户画像等方法识别出异常的流量,从而通过屏蔽ip,设置封顶等方法来拦截的。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 前言
  • 慢攻击
    • 难点
    • 实例分析
      • 事件经过
        • 防御措施
        • eo防御入门
          • 购买
            • 基础配置
              • 安全配置
                • ip段拦截
                • 速率控制
                • 用量封顶告警
                • 一键慢攻击防护
              • 优化配置
                • 图片静态资源
                • 告警
            • 总结
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档