什么是流量攻击?
简单来说,流量攻击是将大量合法数据请求与傀儡机器的访问请求混合在一起,形成分布式拒绝服务攻击(DDoS)。这类攻击主要分为两种类型:
- 第一类:依靠大数据、大流量直接压垮网络设备和服务器链路,即4层DDoS攻击。
- 第二类:通过大量无法完成的不完全请求快速耗尽服务器资源,即7层CC攻击。
具体表现上,通过下图可以直观理解:
前面提到两种攻击类型分别对应主机侧和网络侧的变化,那么实际效果究竟如何?请看下图:
最直接的表现是客户端连接直接报错,服务器彻底崩溃,毫无回旋余地。
如何查看被攻击的流量情况?
您可以通过DDoS基础防护的管理控制台查看历史流量攻击情况。同时,在被攻击的ECS实例下下载攻击证据,利用抓包文件分析攻击类型。具体操作分为以下四个步骤:
步骤1:找到DDoS基础防护管理控制台
按照图中箭头指引操作,点击对应IP地址,在实例详情侧边栏中点击“证据下载”。
步骤2:下载后得到cap文件
步骤3:使用抓包工具(如Wireshark)查看具体数据包情况
步骤4:分析
从抓包数据分析,本次攻击主要为SSDP反射型攻击,属于CC攻击与DDoS攻击的混合类型。具体攻击原理可参考相关资料中的第三章,此处不再展开详述。
该如何防护?
防护方法1:如果确认并非竞争对手恶意打击或不法分子故意攻击,可尝试更换IP地址——前提是该业务服务器不属于核心业务系统。
防护方法2:部署新的BGP高防IP,对DDoS攻击和CC攻击均能提供良好的防护效果。
防护方法3:如果必须继续使用该IP对外提供服务,可以考虑购买企业版DDoS抗D流量包。但需注意,针对7层CC攻击,抗D流量包的效果可能不够理想,建议同时部署WAF(Web应用防火墙)进行协同防护。
