2.5 DDoS防护产品
针对DDoS攻击,阿里云推出了一些商业安全方案,比如DDoS防护就有原生防护和高级防护等防护产品,其中原生防护(Anti-DDoS origin)又有基础版和企业版本。阿里云公网云服务(ECS,SLB,EIP)默认支持DDoS原生防护基础版,相较企业版,基础版不算“产品”,不具有实例概念,而企业版主要优势在于可根据实时机房网络整体水位,进行全力防护。DDoS高防产品又分为新BGP版(Anti-DDoS Pro)和国际版(Anti-DDoS Premium),此外还有游戏盾等产品。日志审计目前最新支持DDoS原生防护、DDoS高防(新BGP)版,DDoS高防(国际)版,可以在前端控制台开启采集授权。
图3 DDoS防护产品类别
DDoS防护的具体使用方法和最佳实践请参考官方网站。下面简单介绍一下原生防护和高防(新BGP)和高防(国际)三个产品。
2.5.1 原生防护
DDoS原生防护通过在阿里云机房出口处建设DDoS攻击检测及清洗系统,直接将防御能力加载到云产品上,以被动清洗为主,主动压制为辅的方式,实现DDoS攻击防护,推荐结合WAF一起使用,防护效果更佳。
图4 DDoS 原生防护工作原理
2.5.2 高防(新BGP)版
图5 DDoS 高级防护架构设计
DDoS高防通过DNS解析和IP直接指向引流到阿里云高防网络机房,在高防清洗中心清洗过滤,抵御流量型和资源耗费型攻击。
图6 DDoS高防(新BGP)工作原理
BGP(Broder GateWay Protocol)协议的最主要功能在于控制路由的传播和选择最好的路由。高防新BGP版主要适用业务服务器部署在中国内地的场景,中国内地T极八线BGP带宽资源,可帮助业务抵御超大流量DDoS攻击。
2.5.3 高防(国际)版
国际版主要适用业务服务部署在中国内地以外的地域场景,为接入防护的业务提供不设上限的DDoS全力防护。
图7 DDoS高防(国际)工作原理
Anycast是一种网络地址和路由通信方式。访问Anycast地址的报文可以被路由到该Anycast地址标识的一组特定的服务器主机。DDoS高防(国际)采用Anycast方式将接收到的流量路由到距离最近(路由跳数最少)且拥有防护能力的清洗中心。
3 日志审计下的DDoS防护
日志审计作为阿里云日志服务SLS(Simple Log Service)下的一款产品,主要是通过日志审计功能对旗下的云产品的进行多账号,跨域聚合,统计,分析,可视化等5。下面将主要介绍日志审计对DDoS三种防护产品的支持。
3.1 采集DDoS防护日志
在SLS日志审计页面开通DDoS 防护 下的产品采集授权:
图8 日志审计新增DDoS防护产品支持
3.2 查看DDoS防护日志
开启授权账号下的DDoS防护的采集后,点击project进入名为
