Google Cloud 首公開!如何有效抵禦大規模 DDoS 攻擊?─ 應用篇

上一篇文章中,我們簡介了目前常見的 DDoS 攻擊趨勢;攻擊者透過大量無效流量,癱瘓受攻擊方的服務運作。而 Google 官方也大致針對常見的幾個關鍵指標進行分類,依照攻擊的強度分為:bps(每秒傳送的位元數)、pps(每秒傳送的網路數據封包數)、rps(每秒的 HTTP(S) 請求數)作區分。這篇文章,我們將帶您了解這三類的攻擊,以及 Google Cloud 又有哪些產品可以協助業者有效防範 DDoS 攻擊。請繼續閱讀了解。

bps(每秒傳送的位元數

Google 本次公開過去受攻擊活動的防禦成果。Google 的架構在 2017 年 9 月吸收了 2.5 Tbps DDoS,這是防禦六個月各種攻擊活動後的成果。為了避開自動防禦機制,攻擊同時瞄準了我們 Google 的數千個 IP,但都沒有產生影響。攻擊者使用了多個網路,將 167 Mpps(每秒數百萬個數據封包)試圖欺騙 180,000 個公開的 CLDAP,DNS 和 SMTP 伺服器,這些伺服器隨後向我們發送大量回應。這證明了資源豐富的攻擊者可以實現的數量:這數字比一年前破紀錄的 Mirai 殭屍網路的 623 Gbps 攻擊大四倍。它仍然是迄今為止回報的最高頻寬攻擊,導致推斷式攻擊的信心下降。

pps(每秒傳送的網路數據封包數

在今年 IoT 殭屍網路產生 690 Mpps 的攻擊中,Google 觀察到此種攻擊持續增長的趨勢。一個值得注意的異常是 2015 年針對某客戶 VM 的攻擊,其中 IoT 殭屍網路在 40 秒內傳出的封包量上升到 445 Mpps,這個數量如此之大,甚至讓 Google 最初以為是監控系統故障!

rps(每秒的 HTTP(S) 請求數

2014 年 3 月,網路中間人攻擊將惡意的 javascript 注入數千個網站,導致成千上萬的瀏覽器對 YouTube 的請求氾濫,峰值為 2.7 Mrps(百萬請求數/秒)。當時一名 Google Cloud 客戶遭到了 6 Mrps 的攻擊。直到最近,這仍然是 Google 所知的最大攻擊。

雖然可以估計攻擊的規模,但我們仍要為意外情況做好準備,因此,Google 也相應地提供高於一般規格的防禦措施。此外,Google 的系統設計會在發生過載時降級,並編寫腳本以指導必要情況下的手動操作。例如,Google 的分層防禦策略,在網際網路層中的高 rps 和高 pps 攻擊到達應用伺服器之前可以對其進行阻止。平滑的降級也適用於網路層:大量對接和網路 ACL 在阻擋攻擊流時,會減輕事件鏈結飽和時潛在的附帶損害。

希望了解 Google 如何減輕其服務、基礎架構或客戶的各種 DDoS 攻擊、Google 於各層級的防禦方案,請參閱《Building Secure and Reliable Systems》的第十章。

了解 iKala Cloud 如何協助艾玩天地利用 Google Cloud 抵禦大規模 DDoS 攻擊

雲端如何幫助您抵禦 DDoS 攻擊?

潛在的 DDoS 攻擊規模之大令人生畏。幸運的是,透過佈署 Google Cloud Armor 到我們的 Cloud Load Balancing 服務(可以擴展以吸收大規模 DDoS 攻擊),您可以保護在 Google Cloud、其他雲端服務或地端中的服務免受攻擊。

Google 最近也發布 Cloud Armor Managed Protection,可讓用戶進一步簡化佈署、減少管理成本,並降低整體 DDoS 造成的和應用程式本身的安全風險。

擁有充足能力來吸收最大的攻擊流量,只是舒緩 DDoS 攻擊的其中一個方法。除了提供擴展性之外,Google 分布在全球的負載平衡器,僅將格式正確的請求發送到後端。因此,它可以自動過濾許多類型的巨量攻擊。例如,UDP 阻斷服務攻擊、synfloods 和某些應用程式層攻擊封包預設被丟棄。下一道防線是 Cloud Armor WAF,它提供了對常見攻擊的內建準則,而且能夠佈署客製化準則並使用 HTTP 語法來丟棄惡意的應用程式層請求。

共同努力,實現全體安全

Google 持續與網際網路社群的人合作,識別並拆除用於攻擊的基礎設施。如這個實際的例子,在 2017 年的 2.5 Tbps 攻擊中,即便沒有造成任何影響,Google 仍向其網路供應商回報了數千台易受攻擊的伺服器,並且與網路供應商合作追蹤了詐欺性數據包的來源,以便可將它們進行過濾。透過共同努力,我們可以減少DDoS攻擊造成的影響。

(本文翻譯改編自 Google Cloud。)