如何使用IBM Cloud上的CIS服务防护DDoS攻击
最近在跟一些游戏行业的客户交流的时候,很多客户都是又喜又忧。喜的是疫情期间宅家的人多了,游戏业务增长了不少。忧的是各种针对游戏业务的DDoS攻击也是层出不穷,而且很多都是以小规模攻击,攻击频率高为特点。
其实游戏和电商行业一直都是DDoS攻击的重灾区。现在的攻击者对一个企业发动DDoS攻击时,其目标往往更明确,手段更多样。他们会针对业务逻辑中的多个环节进行攻击,且利用DDoS配合着其他入侵或欺诈手段。而且DDoS攻击的手段也更加多样与复杂,包括UDP反射攻击,SYN Flood攻击、连接数攻击,DNS flood攻击、HTTP flood攻击,Script 脚本攻击等等,简直防不胜防。这也对企业防护DDoS攻击提出了更多的挑战。
IBM Cloud上的CIS(Cloud Internet Services)服务通过分层安全方法将多种 DDoS 缓解能力整合到一个服务中。它可以防止恶意流量造成的中断,同时允许良好流量通过,为第3, 4, 7层访问流量提供保护,从而保持网站、应用程序和 API 的高可用性和高性能。
传统高防清理中心式的DDoS解决方案,存在一定的局限性,比如全局覆盖范围有限,并可能成为阻塞点。而CIS服务独特的分布式架构可以通过遍布全球200多个城市的数据中心为客户提供完整的DDoS缓解功能。而且CIS服务能提供超过35Tbps的网络容量,可缓解现今为止最大的DDoS攻击。
CIS服务除了提供防护DDoS攻击的能力,还可为企业客户提供在网络安全,可靠性和性能优化等各方面的各种方案,比如WAF(Web应用防火墙),DNS域名解析服务,CDN服务,智能路由,全球负载均衡等… 我们接下来会有一系列的文章来跟大家聊CIS服务的这些能力,但今天先给大家介绍如何利用CIS服务来防护日益严重的DDoS攻击。
1.首先我们在IBM Cloud网站上订购一个CIS服务,进入首页右上角的目录页面,选择联网,点击Internet Services服务
2. 选择合适的服务套餐价格(CIS服务提供了30天的免费试用版本,可提供基础的DDoS攻击防护能力)
也可选择专门针对网络安全防护的服务套餐,该套餐可提供DDoS防护,WAF,IP防火墙,DNS域名解析等各种能力。不同服务套餐的差别可详见在线文档:
https://cloud.ibm.com/docs/cis?topic=cis-cis-plan-comparison
3. 指定CIS服务名称和所在资源组,点击创建按钮创建CIS服务
4. 很快就创建完成,进入CIS服务实例管理配置页面,点击概述页面的立即开始吧按钮
5. 输入要防护的域名,点击连接并继续
6. 此时添加完的域名状态是暂挂,我们还需要做下一步的设置,让域名状态变成活动
7. 此时我们需要在DNS管理页面将新的NS记录替换掉老的NS记录,替换完成后,点击检查名称服务器
8. 回到概述页面,会发现域名的状态已变成活动
9. 此时我们可以在DNS管理页面添加DNS记录
10. 我们这里有一台IP为52.116.2.39的机器,上面安装了httpd服务,用来做接下去的DDoS防护模拟测试,我们把它做为一条A记录添加到DNS,对于批量的DNS记录,我们可以通过导入进行批量化的创建
11. 添加好以后,我们可以看到该记录,此时该DNS记录的代理是关闭的
12. 接下来,我们在另外一台机器上安装Xerxes脚本,来模拟DDoS攻击,如果感觉效果不是很明显,可以多开几个窗口运行Xerxes脚本(在笔者的测试中,开了7个并行窗口测试)
13. 访问http://ddospoc.cispocdemo.com/发现网页打开很慢很慢,使用http://www.isitdownrightnow.com来进行网站可用性测试,发现http://ddospoc.cispocdemo.com/目前的状态是down的
14. 我们把DNS记录的代理打开(打开该代理设置,进出服务器的流量会由CIS进行防护)
15. 此时再次访问http://ddospoc.cispocdemo.com/页面,会发现可以正常访问,打开速度正常,说明CIS对于网站的DDoS防护已经生效(启用上一步的代理设置后,可能需要等待几分钟才能防护生效)
值得注意的是,在CIS的DNS记录那边打开代理选项以后,源服务器IP地址会被隐藏,会使用CIS 的特定IP地址进行域名响应,如下图,域名对应的IP不是源服务器IP: 52.116.2.39,这样源服务器IP就不会暴露,避免了黑客直接攻击源服务器IP
以上简单介绍了CIS服务针对域名的http, https层的防护,CIS服务还能防护针对TCP,UDP层的各种攻击,还可以提供包括WAF防护,IP firewall,访问速率限制等各种能力,笔者将在下一篇文章中详细讲解