如何使用IBM Cloud上的CIS服务防护DDoS攻击

最近在跟一些游戏行业的客户交流的时候,很多客户都是又喜又忧。喜的是疫情期间宅家的人多了,游戏业务增长了不少。忧的是各种针对游戏业务的DDoS攻击也是层出不穷,而且很多都是以小规模攻击,攻击频率高为特点。

其实游戏和电商行业一直都是DDoS攻击的重灾区。现在的攻击者对一个企业发动DDoS攻击时,其目标往往更明确,手段更多样。他们会针对业务逻辑中的多个环节进行攻击,且利用DDoS配合着其他入侵或欺诈手段。而且DDoS攻击的手段也更加多样与复杂,包括UDP反射攻击,SYN Flood攻击、连接数攻击,DNS flood攻击、HTTP flood攻击,Script 脚本攻击等等,简直防不胜防。这也对企业防护DDoS攻击提出了更多的挑战。

IBM Cloud上的CIS(Cloud Internet Services)服务通过分层安全方法将多种 DDoS 缓解能力整合到一个服务中。它可以防止恶意流量造成的中断,同时允许良好流量通过,为第3, 4, 7层访问流量提供保护,从而保持网站、应用程序和 API 的高可用性和高性能。
如何使用IBM Cloud上的CIS服务防护DDoS攻击
传统高防清理中心式的DDoS解决方案,存在一定的局限性,比如全局覆盖范围有限,并可能成为阻塞点。而CIS服务独特的分布式架构可以通过遍布全球200多个城市的数据中心为客户提供完整的DDoS缓解功能。而且CIS服务能提供超过35Tbps的网络容量,可缓解现今为止最大的DDoS攻击。

CIS服务除了提供防护DDoS攻击的能力,还可为企业客户提供在网络安全,可靠性和性能优化等各方面的各种方案,比如WAF(Web应用防火墙),DNS域名解析服务,CDN服务,智能路由,全球负载均衡等… 我们接下来会有一系列的文章来跟大家聊CIS服务的这些能力,但今天先给大家介绍如何利用CIS服务来防护日益严重的DDoS攻击。

1.首先我们在IBM Cloud网站上订购一个CIS服务,进入首页右上角的目录页面,选择联网,点击Internet Services服务
如何使用IBM Cloud上的CIS服务防护DDoS攻击
2. 选择合适的服务套餐价格(CIS服务提供了30天的免费试用版本,可提供基础的DDoS攻击防护能力)
如何使用IBM Cloud上的CIS服务防护DDoS攻击
也可选择专门针对网络安全防护的服务套餐,该套餐可提供DDoS防护,WAF,IP防火墙,DNS域名解析等各种能力。
如何使用IBM Cloud上的CIS服务防护DDoS攻击不同服务套餐的差别可详见在线文档:
https://cloud.ibm.com/docs/cis?topic=cis-cis-plan-comparison
3. 指定CIS服务名称和所在资源组,点击创建按钮创建CIS服务
如何使用IBM Cloud上的CIS服务防护DDoS攻击
4. 很快就创建完成,进入CIS服务实例管理配置页面,点击概述页面的立即开始吧按钮
如何使用IBM Cloud上的CIS服务防护DDoS攻击
5. 输入要防护的域名,点击连接并继续
如何使用IBM Cloud上的CIS服务防护DDoS攻击
6. 此时添加完的域名状态是暂挂,我们还需要做下一步的设置,让域名状态变成活动
如何使用IBM Cloud上的CIS服务防护DDoS攻击
7. 此时我们需要在DNS管理页面将新的NS记录替换掉老的NS记录,替换完成后,点击检查名称服务器
如何使用IBM Cloud上的CIS服务防护DDoS攻击如何使用IBM Cloud上的CIS服务防护DDoS攻击
8. 回到概述页面,会发现域名的状态已变成活动
如何使用IBM Cloud上的CIS服务防护DDoS攻击
9. 此时我们可以在DNS管理页面添加DNS记录
如何使用IBM Cloud上的CIS服务防护DDoS攻击
10. 我们这里有一台IP为52.116.2.39的机器,上面安装了httpd服务,用来做接下去的DDoS防护模拟测试,我们把它做为一条A记录添加到DNS,对于批量的DNS记录,我们可以通过导入进行批量化的创建
如何使用IBM Cloud上的CIS服务防护DDoS攻击
11. 添加好以后,我们可以看到该记录,此时该DNS记录的代理是关闭的
如何使用IBM Cloud上的CIS服务防护DDoS攻击
12. 接下来,我们在另外一台机器上安装Xerxes脚本,来模拟DDoS攻击,如果感觉效果不是很明显,可以多开几个窗口运行Xerxes脚本(在笔者的测试中,开了7个并行窗口测试)
如何使用IBM Cloud上的CIS服务防护DDoS攻击
13. 访问http://ddospoc.cispocdemo.com/发现网页打开很慢很慢,使用http://www.isitdownrightnow.com来进行网站可用性测试,发现http://ddospoc.cispocdemo.com/目前的状态是down的
如何使用IBM Cloud上的CIS服务防护DDoS攻击
14. 我们把DNS记录的代理打开(打开该代理设置,进出服务器的流量会由CIS进行防护
如何使用IBM Cloud上的CIS服务防护DDoS攻击
15. 此时再次访问http://ddospoc.cispocdemo.com/页面,会发现可以正常访问,打开速度正常,说明CIS对于网站的DDoS防护已经生效(启用上一步的代理设置后,可能需要等待几分钟才能防护生效)
如何使用IBM Cloud上的CIS服务防护DDoS攻击
值得注意的是,在CIS的DNS记录那边打开代理选项以后,源服务器IP地址会被隐藏,会使用CIS 的特定IP地址进行域名响应,如下图,域名对应的IP不是源服务器IP: 52.116.2.39,这样源服务器IP就不会暴露,避免了黑客直接攻击源服务器IP
如何使用IBM Cloud上的CIS服务防护DDoS攻击
以上简单介绍了CIS服务针对域名的http, https层的防护,CIS服务还能防护针对TCP,UDP层的各种攻击,还可以提供包括WAF防护,IP firewall,访问速率限制等各种能力,笔者将在下一篇文章中详细讲解

上一篇:图片大小相关参数可控导致ddos的一个案例


下一篇:在Nginx中解释limit_conn_zone $server_name