网络安全

详细讲解

一、阿里云DDoS防护

DDoS攻击介绍

分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。

DDoS危害

  • 重大经济损失
  • 数据泄露
  • 恶意竞争

常见DDoS攻击类型

类型 攻击方式
畸形报文 Frag Flood、Smurf、Stream Flood、Land Flood等
传输层DDoS Syn Flood、Ack Flood、UDP Flood、ICMP Request Flood等
DNS DDoS DNS Query Flood、权威服务器攻击、Local服务器攻击等
连接型DDoS TCP慢速连接、Loic、Hoic、Slowloris等
Web应用层DDoS HTTP Get Flood、HTTP Post Flood、CC攻击

阿里云DDoS防护产品线

产品 特点 适用场景
DDoS原生防护基础版 免费提供最大5Gbps防护 基础防护
DDoS原生防护企业版 透明防护,一键添加 需要多IP防护
DDoS高防 Tbps级防护,全协议防护 网站、游戏、金融
游戏盾 专防TCP协议CC攻击 游戏行业

DDoS原生防护工作原理

  • 直接为阿里云公网IP资产提升DDoS攻击防御能力
  • 主要提供三层和四层流量型攻击防御
  • 超出清洗阈值后自动触发流量清洗
  • 通过旁路部署方式建设DDoS攻击检测及清洗系统

DDoS高防工作原理

  • 支持DNS解析和IP直接指向两种引流方式
  • 正常访问流量通过端口协议转发返回源站
  • 恶意攻击流量在高防流量清洗中心过滤

二、Web应用防火墙(WAF)

WAF背景

传统WAF痛点:

  • 80%用不上
  • 50%无法应用复杂业务
  • 30%误报机率大
  • 无专人后续运维
  • 产品升级慢、流程复杂

阿里云WAF核心能力

  • 0day漏洞防护:自动防御补丁规则
  • Web应用防护:防御OWASP常见威胁
  • CC防护:拦截恶意肉鸡请求
  • 业务风控:防刷、防爬、防撞库

WAF工作原理

  1. 浏览器输入域名访问
  2. DNS服务器解析到WAF集群地址
  3. 访问流量到达WAF防护集群进行清洗
  4. 干净流量根据域名回源到真实服务器
  5. 响应内容回到WAF进行双向检测

WAF产品优势

  • 10年以上网络安全经验
  • 集成大数据能力
  • 防御CC攻击和爬虫攻击
  • 5分钟内部署和激活
  • 无需安装软硬件或调整路由

三、云防火墙

云防火墙定位

业界首款Saa化防火墙,云原生的云上边界网络安全防护产品,是业务上云的第一道网络防线。

四大核心能力

  1. 全网流量可视可控:实时展示资产情况、流量趋势
  2. 漏洞实时防护:同步网络侧可被攻击的漏洞
  3. 失陷止血防护:结合情报智能发现挖矿等失陷资产
  4. 一键开启:秒级接入,即刻防御

技术原理

  • 东西向流量控制模块:利用安全组对主机间交互流量控制
  • 南北向流量控制模块:互联网到主机间的访问控制

产品功能

  • 精细化访问控制
  • 资产暴露管理
  • 安全正向代理
  • 入侵检测与防御IPS
  • 主动外连检测与封禁
  • 网络日志审计

背诵版

DDoS攻击类型

  • 畸形报文:Frag Flood、Smurf、Land Flood
  • 传输层:Syn Flood、UDP Flood、Ack Flood
  • DNS:Query Flood、权威服务器攻击
  • 连接型:Slowloris、Pyloris
  • Web层:HTTP Get/Post Flood、CC

阿里云DDoS防护产品

  • 原生防护基础版:免费5Gbps
  • 原生防护企业版:透明防护
  • DDoS高防:Tbps级防护
  • 游戏盾:专防TCP CC

WAF核心能力:0day防护 + Web防护 + CC防护 + 业务风控

云防火墙四大能力:全网流量可视 + 漏洞实时防护 + 失陷止血 + 一键开启

WAF工作原理:DNS解析→WAF集群→清洗→回源→双向检测

速记版

DDoS攻击 = 多机联合 + 耗尽资源 + 服务不可

DDoS防护产品线:基础免费、企业透明、高防Tbps、游戏盾专防TCP

WAF = 网站必备 + 0day/Web/CC/风控

云防火墙 = SaaS化 + 东西南北向控制 + IPS/日志审计

WAF原理:域名→WAF集群→清洗→回源→双向检测

测试题

选择题

  1. 以下哪种不属于DDoS攻击类型?

    • A. Syn Flood
    • B. XSS攻击
    • C. UDP Flood
    • D. HTTP Get Flood

  2. 阿里云DDoS原生防护基础版提供多少Gbps免费防护?

    • A. 1Gbps
    • B. 3Gbps
    • C. 5Gbps
    • D. 10Gbps

  3. WAF的中文名称是?

    • A. Web应用防火墙
    • B. 网络防火墙
    • C. 分布式防火墙
    • D. 应用代理防火墙

  4. 云防火墙是业界首款什么类型的防火墙?

    • A. 硬件防火墙
    • B. 软件防火墙
    • C. SaaS化防火墙
    • D. 下一代防火墙

  5. WAF工作流程中,DNS解析后域名指向什么?

    • A. 源站服务器
    • B. WAF集群地址
    • C. 负载均衡器
    • D. CDN节点

判断题

  1. DDoS攻击可以将多台计算机联合起来作为攻击平台。
  2. 游戏盾主要用于防护UDP协议的DDoS攻击。
  3. 阿里云WAF需要复杂的网络接入配置才能使用。
  4. 云防火墙的东西向流量控制主要用于实现互联网到主机的访问控制。
  5. WAF的0day漏洞防护可以自动防御最新曝出的Web 0day漏洞。

答案

1.B | 2.C | 3.A | 4.C | 5.B
6.√ | 7.× | 8.× | 9.× | 10.√