当前位置：网站首页>中国企业海外业务DDoS防护探索

中国企业海外业务DDoS防护探索

2022-06-21 11:05:00 【0xtuhao】

近些年国内市场，尤其是互联网行业，竞争非常激烈，也越来越饱和，于是很多产品纷纷出海。他们的发行方式多种多样，服务部署方式相应的有所不同：有自己部署在aws/gcp/azure等公有云上的，也有部署在海外IDC服务器的，这两种方式面对的安全威胁也多种多样，但有一点是共同的，那就是DDoS攻击。因此，当下研究中国企业海外业务DDoS防护解决方案，显得十分必要。

概况

目前中国企业海外业务被DDoS情况，还没有相关报道，不过海外公有云那边可能会有比较多的数据，可惜没有公开，希望有这块数据分析的读者能分享相关数据。下面笔者仅针对了解到的几家企业的情况做些简单介绍。

公司1：大型移动工具开发商，目前主要用户来源海外，业务覆盖超过100个国家。由于发展非常迅速，他们的业务部署在AWS，同时购买了Enterprise Support。在DDoS攻击方面，他们可谓是“香饽饽”。面对年均超过100次、峰值流量几十Gbps的DDoS攻击，他们立足于AWS Marketplace和AWS Shield进行DDoS防御。

公司2：大型游戏厂商，目前主要用户来自国内，但国外业务增长速度很快，已经有近10款游戏在海外发行。面对年均超过1000次，峰值流量超过100Gbps的DDoS攻击，他们的应对方案有些不同。由于家大业大，加上自家提供公有云服务，他们选择让公有云节点随企业业务走，比如游戏业务开到哪里，清洗服务就开到哪里。如果公有云无法覆盖，则会跟当地IDC或者当地公有云合作。

这两家企业都是其所在行业的标杆企业，他们所面临的DDoS困境以及采取的应对手段十分具有代表性，也对国内企业出海有重要参考价值。下面笔者试着梳理一下具体的应对措施。

应对措施

主要包括服务器内部安全、外部安全服务两种方式。其中，外部服务安全主要是公有云和IDC两种提供商。

服务器安全

在接入外部的DDoS防御手段前，还需先做好服务器本地安全。

缩小攻击面

这一点通常也公有云抗D最佳实践之中。

开放尽可能少的端口
- 内部流量走内网，避免走外网受攻击影响
接入负载均衡集群
- 使用公有云的ELB

业务架构设计支持高可用和灵活迁移

在攻击规模超过线上系统承受范围时，业务系统架构很大程度影响了所能采取的应对措施。比如使用LB+域名的方式，则接入云清洗会非常方便。如果采用的RS+IP的方式，则还要另外更换RS IP，甚至修改客户端获取的服务器列表等内容，导致整体调整成本过高，从而影响清洗效果。

公有云

国外公有云主要是Amazon Web Service(AWS)、Google Cloud Platform(GCP)以及Microsoft Azure(Azure)，也可以考虑阿里云、腾讯云、金山云、Ucloud等国内公有云的海外节点。

对比分析表

AWS Shield

aws专门用于DDoS防护的产品，可为ELB、CloudFront以及 Amazon Route53提供扩展的 DDoS 攻击保护。aws ddos防护整体流程图如下：

分为标准版和高级版，对比图如下：

标准版
- 3/4层保护
  - 自动检测与防御
  - 提供常见DDoS攻击防护：SYN/UDP Floods,反射攻击等
  - aws内置服务，免费
- 7层保护
  - AWS WAF为7层攻击提供防护
  - aws官方服务，需要收费
高级版
- 功能
  - 持续监控和检测（含3/4/7层）
  - 提供常见DDoS攻击防护以及额外的防护手段
  - 提供实时报警与历史数据查询（含3/4/7层）：可看到哪些 IP、ASN 或国家/地区是攻击流量的主要来源。
  - AWS DDoS应急响应团队（DRT）服务：使用 DRT可为自定义 DDoS 和WAF 防护策略，或者寻求 DRT 帮助。
  - 为受攻击的Route 53, CloudFront, and ELB提供费用减免
  - 应用在ELB/CloudFront
  - 包含WAF在内的安全防护费用，为$3000/月，数据传输费用另算
- 支持的区域：弗吉尼亚北部、俄勒冈、爱尔兰、东京和加利福尼亚北部
其他说明
- 响应时间： cloudfront提供秒级、elb提供分钟级、shield提供分钟级、触发阈值：入向5Gbps。可以看到aws ec2的响应时间比较慢，而且触发清洗阈值很高，如果真被这么打，业务会有一段时间受影响，无法做到实时的防护。
- 免费服务天花板：原则上是用尽带宽