阿里云Web应用防火墙(WAF)遭受大流量DDoS攻击后进入黑洞的解决方法

客户问题描述:
阿里云Web应用防火墙(WAF)遭受大流量DDoS攻击后进入黑洞的解决方法
阿里云技术回复:
1、什么是黑洞
当Web应用防火墙(WAF)遭受到大流量的DDoS攻击时,如果流量太大超过了阿里云免费提供的DDoS防护能力,就会进入黑洞。此时,您会在Web应用防火墙管理控制台的消息区域收到提示信息。
2、Web应用防火墙(WAF)遭受大流量DDoS攻击后进入黑洞
当WAF IP被黑洞后,所有到WAF的流量(不论是正常访问还是攻击)都会被丢弃。这意味着您当前WAF防护下的所有域名在黑洞期间都无法访问。
说明 黑洞后,只能等待黑洞时间结束之后,系统自动解除黑洞状态。默认的黑洞时间为150分钟。Web应用防火墙的黑洞阈值与您的ECS所在地域的默认阈值相同。
3、WAF 被黑洞了怎么办
默认情况下,每个WAF实例分配给您一个独享的IP,一旦这个WAF IP被黑洞,所有WAF实例上配置的域名都无法访问。为了避免这种“连坐”情况的发生,您可以为重要的域名单独购买额外的独享IP,以防重要域名受其它被DDoS攻击的域名牵连。
说明 解决大流量 DDoS 攻击的根本办法是使用高防IP服务对您的域名进行防护。如果您已采用高防IP结合WAF的部署架构,但WAF仍然被黑洞,请提交工单联系技术支持团队协助处理。

WAF 黑洞常见问题
Q:WAF被黑洞了,是否能马上为我解除?
A:由于黑洞是阿里云向运营商购买的服务,而运营商对黑洞解除时间和频率都有严格的限制,所以黑洞状态无法人工解除,需耐心等待系统自动解封。
事实上,即使立刻解除黑洞,如果WAF仍在遭受大流量DDoS攻击,还是会再次触发黑洞。
Q:WAF配置了多个域名,如何查看是哪个域名被攻击的?
A:一般情况下,黑客会解析某个WAF已防护的域名,在获取您WAF实例的IP后,对其发起DDoS攻击。然而,大流量的DDoS攻击都是针对WAF IP,从攻击流量中无法得知具体哪个域名被攻击。
您可以使用域名拆分来获知哪个域名被攻击。例如,您可以将部分域名解析到WAF,部分域名解析到其他地方(ECS源站、CDN或SLB 等),如果拆分之后WAF不再被黑洞,则说明黑客的目标在拆分出去的部分域名中。但是,这种方式操作比较复杂,且可能导致源站等其它资产的暴露,从而引发更大的安全问题。因此,除非在必要情况下,不建议您通过这种方式来判断哪个域名被攻击。
Q:能否协助更换WAF的IP,这样就不会被黑洞了?
A:更换WAF IP无法解决实际问题。如果黑客针对您的域名进行攻击,即使更换了WAF IP,黑客只需要ping您的域名就能获取到更换后的IP,并且继续发起DDoS攻击。
Q:DDoS攻击和CC攻击有什么区别?WAF为什么不能防御DDoS攻击?
A:大流量的DDoS攻击主要是针对IP的四层攻击;而CC是七层攻击(例如HTTP GET/POST Flood)。
WAF可以防御CC攻击;但对于大流量的DDoS攻击,由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗,只能通过高防IP服务来防护。

本文适用于:
阿里云Web应用防火墙(WAF)遭受大流量DDoS攻击后进入黑洞的解决方法

不知道如何办理开通阿里云Web应用防火墙(WAF)?让凯铧互联专业的工程师帮您。我们提供免费的技术咨询,方案建议,让您的企业上云变得更容易,更有效,更安全!

看完上述说明如果您还有疑问,或者是需要咨询阿里云产品相关折扣、优惠或者是技术问题,请加下面的微信!我们是阿里云/腾讯云/华为云代理商联系我更有折上折优惠,新老用户均有!微信(电话):158-0160-3153。

为什么选择凯铧互联:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯服务器运维团队,公司90%成员均是超过10年具备专业运维经验的精英。作为阿里云,腾讯云,百度云,金山云,华为云重要的合作伙伴,专业从事互联网应用服务、云计算、大数据、人工智能、企业信息化建设,为企业用户提供基于大数据的企业上云解决方案。公司总部设在北京,并在内蒙设有办事处,服务全国各地企业,与互联网专业公司及主流服务商建立了良好合作关系。
凯铧互联始终坚持帮助企业节省成本、提高效率、创造价值的原则,力求为企业及创业型团队 提供可靠、安全、稳定的运维服务,与之共同成长。做为一家综合性方案商,为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评!行业解决方案涵盖的领域包括:电子、能源、文化、旅游、教育、机械、医疗、金融、餐饮等。公司官网:www.bjkaihua.com; 腾讯云网站www.bjkaihua.net.cn; 阿里云业务网站:www.alibjyun.com。查看凯铧互联相关阿里云资质。

总之:阿里云代理很多,但做的好的不多,很多代理商只会低价销售,过一年两年就不做了,凯铧互联科技不单单可以优惠购买,还有免费技术服务提供,这样又靠谱又有技术服务的代理商不多了,推荐选择凯铧互联。关于阿里云代理商能优惠几折这钟具体问题要问具体咨询代理,代理公司不同可能价格也不同。

什么是DDoS攻击

问题场景:
什么是DDoS攻击

阿里云技术回复:
分布式拒绝服务(Distributed Denial of Service,简称DDoS),指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
通常,攻击者使用一个非法帐号将DDoS主控程序安装在一台计算机上,在所设定的时间主控程序将与大量代理程序进行通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

1、畸形报文
畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP包时出现崩溃,从而达到拒绝服务的攻击目的。
畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood攻击,以及IP畸形包、TCP畸形包、UDP畸形包。

2、传输层DDoS攻击
传输层DDoS攻击主要是指Syn Flood,Ack Flood,UDP Flood,ICMP Flood、RstFlood等攻击。
以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当等待队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。

3、DNS DDoS攻击
DNS DDoS攻击主要是指DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器和Local服务器攻击。
以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台肉鸡同时发起海量的域名查询请求,对服务端来说则无法为正常的Query请求返回结果,从而导致拒绝服务。

4、连接型DDoS攻击
连接型DDoS攻击主要是指TCP慢速连接攻击,连接耗尽攻击,Loic,Hoic,Slowloris, Pyloris,Xoic等慢速攻击。
以Slowloris攻击为例,其攻击目标是Web服务容器的并发上限,当Web服务容器的连接并发数达到上限后,Web服务即无法接受新的请求。具体来说,Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接;如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理;而当所有连接都处于连接状态时,Web将无法处理任何新的请求。
Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束,如果Web服务端只收到\r\n,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。

5、Web应用层DDoS攻击
Web应用层攻击主要是指HTTP Get Flood,HTTP Post Flood,CC等攻击。
通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。
Web服务中一些资源消耗较大的事务和页面(例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源)。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。
由于现在的攻击大都是混合型的,掺杂在正常的业务中,因此一般存在模拟用户行为的频繁操作都可以被认为是CC攻击。但总体来说,CC攻击这类应用层的攻击特点,是和业务应用边界模糊。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。
CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等,都会导致功能和性能的异常。

不知道如何办理开通阿里云DDoS高防IP?让专业的工程师帮您。我们提供免费的技术咨询,方案建议,让您的企业上云变得更容易,更有效,更安全!

下面讲下如何优惠折扣购买阿里云DDoS高防IP业务:

1.如果您是自买自用,我们会为您新建一个阿里云官网账号(拥有阿里云全部权限,可开官网发票)

您通过这个账号新买、续费阿里云产品均可优惠(可签订合同,值得您长期合作),具体优惠价格请联系在线客服

2.如果您是为朋友或者客户采购,欢迎您成为我们的合伙人

我们会为您开通一个独立的管理后台,您的客户下的订单您都可以看到,我们会按期给您结算奖励金。

看完上述说明如果您还有疑问,或者是需要咨询阿里云产品相关折扣、优惠或者是技术问题,请加下面的微信!我们是阿里云/腾讯云/华为云代理商联系我更有折上折优惠,新老用户均有!微信(电话):158-0160-3153。

为什么选择我们:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯服务器运维团队,公司90%成员均是超过10年具备专业运维经验的精英。作为阿里云,腾讯云,百度云,金山云,华为云重要的合作伙伴,专业从事互联网应用服务、云计算、大数据、人工智能、企业信息化建设,为企业用户提供基于大数据的企业上云解决方案。公司总部设在北京,并在内蒙设有办事处,服务全国各地企业,与互联网专业公司及主流服务商建立了良好合作关系。
凯铧互联始终坚持帮助企业节省成本、提高效率、创造价值的原则,力求为企业及创业型团队 提供可靠、安全、稳定的运维服务,与之共同成长。做为一家综合性方案商,为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评!行业解决方案涵盖的领域包括:电子、能源、文化、旅游、教育、机械、医疗、金融、餐饮等。公司官网:www.bjkaihua.com; 腾讯云网站www.bjkaihua.net.cn阿里云业务网站:www.alibjyun.com查看凯铧互联相关阿里云资质。大家可以扫描以下微信二维码进行沟通交流

总之:阿里云代理很多,但做的好的不多,很多代理商只会低价销售,过一年两年就不做了,凯铧互联科技不单单可以优惠购买,还有免费技术服务提供,这样又靠谱又有技术服务的代理商不多了,推荐选择凯铧互联。关于阿里云代理商能优惠几折这钟具体问题要问具体咨询代理,代理公司不同可能价格也不同。

常见攻击类型及排查处理建议

什么是肉鸡攻击:

肉鸡就是被黑客攻击和入侵,在电脑里面放入了病毒和木马之类的后门程序,拥有管理权限的远程电脑,受入侵者控制的远程电脑。

被肉鸡或ARP攻击处理建议:

1. 从系统级检查

经常检查系统内用户情况,是否发现有可疑账号,检查administrators组里是否增加了未知账号。
检查自己网站目录权限,尽量减少无关用户的权限。
Windows主机的用户每月都要打系统补丁,每月的15日左右微软会发布补丁,请及时打补丁。
建议关闭不需要的服务。
建议关闭一些高危端口,比如135、139等等。
2. 从程序上检查

定期检查网站下有无可疑的可执行文件。
避免使用无组件上传和第三方控件,如果使用第三方控件最好注意更新。
定期备份自己的数据库和网站程序。
3. 提交系统初始化

系统感染木马病毒或者被黑客入侵,系统文件损坏,通过常规方式无法修复,严重影响使用的。您可以 提交工单,然后选择系统初始化操作。为保证数据安全性,请选择以下两种方案中适合您的一种,进行提交:

系统盘无重要数据,请协助初始化系统盘。(系统盘数据已经备份完毕,其它盘数据不受影响)。
服务器无法远程登录,系统盘有重要资料,请协助保留系统盘数据,并协助初始化系统盘。 独享主机:新增一块硬盘,把原有硬盘做为从盘挂载,新系统将安装在新的硬盘上。同时提醒您,挂盘初始化后请您务必48小时内将原有硬盘数据导出到新硬盘上,原有硬盘48小时后卸载,卸载后原有硬盘不再保留数据。
云享主机:提供原系统盘FTP服务,供您对原系统盘数据进行下载。“同时提醒您,初始化后请您务必48小时内将原系统盘数据下载到本地进行备份,原有系统盘将在48小时后卸载,卸载后原有系统盘不再保留数据。

什么是DDoS攻击:

DDoS是英文Distributed Denial of Service的缩写,意即 分布式拒绝服务,那么什么又是拒绝服务(Denial of Service)呢?凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDoS和DOS还是有所不同,DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为洪水式攻击,常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。

DDoS攻击是发起大量的连接来访问您的网站,产生大量连接数以及流量,导致服务器负载过高以及带宽不足,不会影响您的网站数据。DDoS攻击具有一定的针对性,目前没有太好的解决办法,只能通过断网的形式让攻击源无法找到目标主机。

遭DDoS攻击排查防范建议

1. 排查建议

检查网站程序和服务器数据,是否存在漏洞,将可能被攻击的网站内容转出,避免同样的攻击再次出现。
请观察是否是竞争对手恶意攻击,综合排查进行处理。
2. 防范措施

程序方面防范:建议在程序代码中进行zend、MD5等加密方式对自己的程序进行加密,避免程序上的漏洞导致被黑客植入木马病毒程序,最终让黑客趁虚而入针对此漏洞发起DDoS攻击。
主机安全防护措施的加强:建议不要使用默认的远程端口,并且服务器上所有的密码都要使用复杂的密码,比如远程密码、FTP密码、数据库密码等。简单的密码很容易被黑客破译最终将客户的主机当做肉鸡来对其他服务器发起DDoS攻击。

为什么选择我们:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯服务器运维团队,作为阿里云,腾讯云,百度云,金山云,华为云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。公司总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承”专业规划、周到服务”的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。可以扫描以下微信二维码沟通