Habituellement, les attaquants utilisent un compte illégal pour installer le programme maître DDoS sur un ordinateur et installer des programmes agents sur plusieurs ordinateurs du réseau. Dans un délai défini, le programme de contrôle principal communique avec un grand nombre de programmes agents. Lorsque le programme agent reçoit des instructions, il lance des attaques sur la cible. Le programme de contrôle principal peut même activer des centaines ou des milliers de programmes agents en quelques secondes.

des pertes économiques importantes

violation de données

Concurrence malveillante

Classification des attaques DDoS Sous-classe d'attaque décrire Message mal formé Les messages mal formés incluent principalement Frag Flood, Smurf, Stream Flood, Land Flood, les messages IP mal formés, les messages TCP mal formés, les messages UDP mal formés, etc. Les attaques de paquets mal formés font référence à l'envoi de paquets IP défectueux au système cible, provoquant le crash du système cible lors du traitement de ces paquets, atteignant ainsi l'objectif d'une attaque par déni de service. Attaque DDoS sur la couche de transport Les attaques DDoS de la couche transport incluent principalement Syn Flood, Ack Flood, UDP Flood, ICMP Flood, RstFlood, etc. Prenons l'exemple de l'attaque Syn Flood. Elle utilise le mécanisme de négociation à trois voies du protocole TCP. Lorsque le serveur reçoit une requête Syn, le serveur doit utiliser une file d'attente d'écoute pour sauvegarder la connexion pendant une certaine période de temps. Par conséquent, en envoyant continuellement des requêtes Syn au serveur mais en ne répondant pas aux messages Syn Ack, les ressources du serveur sont consommées. Lorsque la file d'attente d'écoute est pleine, le serveur sera incapable de répondre aux demandes normales des utilisateurs, atteignant ainsi l'objectif d'une attaque par déni de service. Attaque DDoS DNS Les attaques DNS DDoS incluent principalement l'inondation de requêtes DNS, l'inondation de réponses DNS, l'inondation de requêtes DNS de fausse source et de source réelle, l'attaque de serveur faisant autorité et l'attaque de serveur local. Prenons l'exemple de l'attaque DNS Query Flood. Elle exécute essentiellement une véritable requête de requête, ce qui est un comportement commercial normal. Cependant, si plusieurs machines fantoches lancent simultanément des requêtes massives de requête de nom de domaine, le serveur ne peut pas répondre aux requêtes de requête normales, ce qui entraîne un déni de service. Attaque DDoS connectée Les attaques DDoS de type connexion font principalement référence aux attaques de connexion lente TCP, aux attaques par épuisement de connexion, Loic, Hoic, Slowloris, Pyloris, Xoic et autres attaques lentes. Prenons l'exemple de l'attaque Slowloris. Sa cible d'attaque est la limite supérieure de concurrence du serveur Web. Lorsque le nombre de connexions simultanées du serveur Web atteint la limite supérieure, le service Web ne peut pas recevoir de nouvelles requêtes. Lorsque le service Web reçoit une nouvelle requête HTTP, il établit une nouvelle connexion pour traiter la requête et ferme la connexion une fois le traitement terminé. Si la connexion est toujours connectée, une nouvelle connexion doit être établie pour être traitée lorsqu'une nouvelle requête HTTP est reçue. Et lorsque toutes les connexions seront connectées, le Web ne pourra traiter aucune nouvelle requête. L'attaque Slowloris utilise les caractéristiques du protocole HTTP pour atteindre l'objectif de l'attaque. La requête HTTP se termine par \r \r identifiant les en-têtes. Si le serveur web ne reçoit que \r , on considère que la partie En-têtes HTTP n'est pas terminée, et la connexion sera conservée et attendra les suivantes. demander du contenu. Attaque DDoS de la couche application Web Les attaques de la couche d'application Web font principalement référence à HTTP Get Flood, HTTP Post Flood, CC et d'autres attaques. Habituellement, les attaques de la couche application simulent complètement les demandes des utilisateurs, à l'instar de divers moteurs de recherche et robots d'exploration. Il n'y a pas de frontière stricte entre ces comportements d'attaque et les activités normales, et il est difficile de les distinguer. Certaines transactions et pages des services Web consomment de grandes ressources. Par exemple, pour la pagination et le fractionnement de tableaux dans les applications Web, si les paramètres contrôlant la page sont trop volumineux, les rotations fréquentes des pages occuperont davantage de ressources du service Web. Surtout dans le cas d’une concurrence élevée et d’appels fréquents, des transactions comme celle-ci sont devenues la cible des premières attaques CC. Étant donné que la plupart des attaques actuelles sont hybrides, les opérations fréquentes simulant le comportement des utilisateurs peuvent être considérées comme des attaques CC. Par exemple, l’accès à des sites Web par divers logiciels de vote-brossage est, dans une certaine mesure, une attaque CC. Les attaques CC ciblent l'activité back-end des applications Web. En plus de provoquer un déni de service, elles affecteront également directement les fonctions et les performances des applications Web, notamment le temps de réponse Web, les services de base de données, la lecture et l'écriture du disque, etc.

Votre entreprise peut avoir subi une attaque DDoS dans les cas suivants :

Lorsque le réseau et l'équipement fonctionnent normalement, le serveur subit soudainement une déconnexion, un décalage d'accès et une déconnexion des utilisateurs.

L'utilisation du processeur ou de la mémoire du serveur augmente considérablement.

Il y a une augmentation significative du trafic réseau sortant ou entrant.

Le site Web ou l’application de votre entreprise subit soudainement un grand nombre de visites inconnues.

La connexion au serveur a échoué ou la connexion a été trop lente.

Réduisez la surface d’exposition, isolez les ressources et les entreprises non pertinentes et réduisez le risque d’être attaqué.

Optimisez l'architecture d'entreprise et utilisez les caractéristiques du cloud public pour concevoir un système de mise à l'échelle élastique et de commutation de reprise après sinistre.

La sécurité du serveur est renforcée et les performances du serveur telles que le nombre de connexions sont améliorées.

Choisissez la bonne solution de sécurité pour votre entreprise. Alibaba Cloud fournit à la fois une protection DDoS de base gratuite et des solutions de sécurité commerciales.

Le réseau informatique est un environnement partagé qui nécessite que plusieurs parties travaillent ensemble pour maintenir la stabilité. Certains comportements peuvent avoir un impact sur l'ensemble du réseau et sur les réseaux des autres locataires.

architecture du produit Protection de base contre les DDoS Protection native DDoS DDoS Haute Défense (Nouveau BGP&International) Modèle standard Amélioré Présentation de la solution Basé sur le réseau de protection natif d'Alibaba Cloud, l'adresse IP du serveur d'origine n'est pas modifiée pour résister aux attaques DDoS au niveau de la couche réseau et de la couche transport. Le trafic est dirigé vers le centre mondial de nettoyage DDoS d'Alibaba Cloud via la résolution DNS pour résister aux attaques DDoS au niveau de la couche réseau, de la couche transport et de la couche application, et masquer le serveur d'origine protégé. Capacité de protection Faible, basé sur les capacités de défense d'Alibaba Cloud, 500 Mbps~5 Gbps. Pour plus de détails, consultez Seuil de trou noir de protection DDoS de base. Élevé, basé sur les capacités de défense d’Alibaba Cloud, il peut atteindre plusieurs centaines de Gbps. Pour plus de détails, consultez Qu’est-ce que la protection DDoS native. Élevé, basé sur les capacités du centre mondial de nettoyage DDoS d'Alibaba Cloud, il peut atteindre jusqu'à Tbps ou plus. Élevé, basé sur les capacités du centre mondial de nettoyage DDoS d'Alibaba Cloud, il peut atteindre jusqu'à Tbps ou plus. Objet de protection Certains produits Alibaba Cloud. Y compris ECS, SLB, EIP (y compris EIP lié à la passerelle NAT), passerelle IPv6, serveur léger, WAF et GA. Certains produits Alibaba Cloud. Y compris ECS, SLB, EIP (y compris EIP lié à la passerelle NAT), passerelle IPv6, serveur léger, WAF et GA. Certains produits Alibaba Cloud. Actuellement, seul l’EIP amélioré par la protection DDoS est pris en charge. Toute adresse IP publique. Scène applicable Après avoir acheté le produit cloud correspondant, il est activé par défaut. Grand nombre d'IP/ports. La bande passante professionnelle est importante et l'adresse IP externe ne peut pas être modifiée. Par exemple, la bande passante du service est supérieure à 1 Gbit/s et le QPS des services HTTP et HTTPS est supérieur à 5 000. Une latence extrêmement faible est requise pour garantir la continuité des activités lors d’attaques à grand trafic. Souffrir occasionnellement d'attaques DDoS. Grand nombre d'IP/ports. La bande passante professionnelle est importante et l'adresse IP externe ne peut pas être modifiée. Par exemple, la bande passante du service est supérieure à 1 Gbit/s et le QPS des services HTTP et HTTPS est supérieur à 5 000. Une latence plus faible est nécessaire pour garantir la continuité des activités lors d’attaques de trafic importantes. Les actifs nécessitent des capacités de protection DDoS de niveau Tbps. Souffrir occasionnellement d’attaques DDoS. A subi davantage d'attaques et de féroces confrontations offensives et défensives. Il est nécessaire de se défendre contre les attaques CC raffinées de la couche application. L’adresse IP externe de l’entreprise doit être modifiée. illustrer gratuit. Le modèle d'achat annuel et mensuel est divisé en version inclusive pour les petites et moyennes entreprises et en version entreprise. Pour plus de détails, consultez Abonnement annuel et mensuel Native Protection 2.0. Modèle d'achat postpayé, pour plus de détails, voir Native Protection 2.0 Postpaid. Modèle d'achat postpayé, pour plus de détails, voir Native Protection 2.0 Postpaid. Guide de sélection des versions : Lorsque la source d'accès et le site d'origine se trouvent tous deux en Chine continentale, veuillez utiliser DDoS Anti-DDoS Advanced (nouveau BGP). Lorsque la source d'accès et le site d'origine se trouvent en dehors de la Chine continentale, veuillez utiliser la version avec assurance ou sans souci dans Anti-DDoS Premium (International). Pour les scénarios transfrontaliers (la source d'accès se trouve en Chine continentale et la station d'origine est en dehors de la Chine continentale), veuillez utiliser la version d'assurance de ligne accélérée/version sans souci dans DDoS Advanced Defense (International) ou la ligne d'accélération sécurisée.

Type d'attaque Sous-classe d'attaque Protection native DDoS DDoS Haute Défense (Nouveau BGP&International) Modèle standard Amélioré Attaque DDoS sur la couche réseau Inclut principalement Frag Flood, Smurf, Stream Flood, Land Flood, les messages IP mal formés, les messages TCP mal formés, les messages UDP mal formés, etc. √ √ √ Attaque DDoS sur la couche de transport Inclut principalement Syn Flood, Ack Flood, UDP Flood, ICMP Flood, RstFlood/NTP/SSDP/DNS réflexion, etc. √ √ √ Attaque DDoS de la couche application (HTTP/HTTPS) Également connues sous le nom d'attaques CC de la couche d'application Web, elles incluent principalement HTTP/HTTPS CC, les attaques HTTP lentes (Loic/Hoic/Slowloris/Pyloris/Xoic) et d'autres attaques CC ciblant les services HTTP, tels que les sites Web, les interfaces API, WebSocket et d'autres services. . × × √ Attaque DDoS de la couche application (protocole de couche application TCP autre que HTTP/HTTPS) Également connues sous le nom d'attaques CC de couche d'application non Web, elles incluent principalement TCP CC, les connexions nulles TCP, les attaques de consommation de ressources de connexion TCP et d'autres attaques CC basées sur la couche d'application TCP ciblant les services non HTTP, tels que les protocoles privés, MySQL, MQTT, RTMP et autres services. × √ En version bêta publique, il ne prend actuellement en charge que la région de Hangzhou. Veuillez contacter le responsable commercial via la consultation en ligne de pré-vente pour postuler. √ Attaque DDoS de la couche application (protocole de couche application basé sur UDP) UDP-CC, DNS-Floood du service NS et d'autres attaques CC ciblent les services UDP, tels que le service NS, le service de jeu UDP, les appels vocaux UDP et d'autres services. illustrer La protection UDP Business CC nécessite un achat supplémentaire de Security Manager, sinon elle n'est pas prise en charge. √ Prend en charge le nettoyage des attaques DNS sur les services non-NS. Si vous devez protéger les services NS, veuillez utiliser la sécurité DNS. √ Prend en charge le nettoyage des attaques DNS sur les services non-NS. Si vous devez protéger les services NS, veuillez utiliser la sécurité DNS. √ Prend en charge le nettoyage des attaques DNS sur les services non-NS. Si vous devez protéger les services NS, veuillez utiliser la sécurité DNS.

Pour le trafic professionnel normal après l'accès, la protection intelligente par IA de la solution de protection DDoS aura un temps d'apprentissage pour les caractéristiques du trafic professionnel normal. Si vous subissez une attaque DDoS ou une attaque CC juste après avoir accédé à l'entreprise, il peut y avoir une transmission transparente d'attaque instantanée. lors de la première attaque, il est recommandé d'améliorer au maximum la capacité de chargement du site d'origine, et de le configurer selon les recommandations suivantes :

Protection native DDoS

DDoS Haute Défense (Nouveau BGP&International)