目录
DDoS 攻击缓解最佳实践 4
如何让千万级业务服务免于 CC 攻击危害 9
Linux 系统被入侵后处理方式介绍 15
Windows 系统被入侵后处理方式介绍 18
WAF+SLB 负载不均衡案例分享 22
链路问题?高防链接超时 24
WAF-HTTPS [Encrypted Alert] 断开连接 28
某业务间接性获取不到数据 32
Linux 系统漏洞修复失败解析 35
DDoS 攻击缓解最佳实践 < 4
DDoS 攻击缓解最佳实践
分布式拒绝服务攻击( DDoS 攻击)是一种针对目标系统的恶意网络攻击行为,
DDoS 攻击经常会导致被攻击者的业务无法正常访问,也就是所谓的拒绝服务。
常见的 DDoS 攻击包括以下几类:
网络层攻击
比较典型的攻击类型是 UDP 反射攻击 ,例如 NTP Flood 攻击 。这类攻击主要利用大
流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。
传输层攻击
比较典型的攻击类型包括 SYN Flood 攻击、连接数攻击等。这类攻击通过占用服务
器的连接池资源从而达到拒绝服务的目的。
会话层攻击
比较典型的攻击类型是 SSL 连接攻击。这类攻击占用服务器的 SSL 会话资源从而达
到拒绝服务的目的。
应用层攻击
比较典型的攻击类型包括 DNS Flood 攻击 、 HTTP Flood 攻击 ( 即 CC 攻击 ) 、 游
戏假人攻击等 。这类攻击占用服务器的应用处理资源 ,极大地消耗服务器计算资源 ,从而达
到拒绝服务的目的。
一、 DDoS 攻击缓解最佳实践
建议阿里云用户从以下几个方面着手缓解 DDoS 攻击的威胁:
5 > DDoS 攻击缓解最佳实践
缩小暴露面,隔离资源和不相关的业务,降低被攻击的风险。
O 配置安全组
尽量避免将非业务必须的服务端口暴露在公网上 ,从而避免与业务无关的请求和访
问。通过配置安全组可以有效防止系统被扫描或者意外暴露。
关于安全组的详细介绍,请参见 创建安全组 。
O 使用专有网络 VPC ( Virtual Private Cloud )
通过专有网络 VPC 实现网络内部逻辑隔离,防止来自内网傀儡机的攻击。
关于专有网络 VPC 的详细介绍,请参见 什么是专有网络 。
优化业务架构,利用公共云的特性设计弹性伸缩和灾备切换的系统。
O 科学评估业务架构性能
在业务部署前期或运营期间 ,技术团队应该对业务架构进行压力测试 ,以评估现有
架构的业务吞吐处理能力,为 DDoS 防御提供详细的技术参数指导信息。
O 弹性和冗余架构
通过负载均衡或异地多中心架构避免业务架构中出现单点故障 。如果您的业务在阿
里云上 , 可以灵活地使用负载均衡服务 S
《云上安全产品实战手册》.pdf