什么是 DDoS?

DDoS 是 Distributed denial of service 的简称,中文即分布式拒绝服务攻击,是 DoS 攻击中的一个分类。在普通的 DoS 攻击中,攻击者会使用单个 Internet 连接向攻击对象发起虚假请求,目的是利用这些虚假请求突破网站的处理能力,妨碍网站的正常运营。而 DDoS 攻击则是集合了数千,甚至是数百万的设备同时发送虚假请求,致使其与普通 DoS 攻击相比更难应对,使得正常访问者无法访问。通常,攻击者会选择电子商务平台等提供在线服务的网站作为攻击对象。

新用户享受中国区域 12 个月免费套餐
什么是 DDoS

亚马逊云科技上的 DDoS 解决方案

DDoS 攻击一直是严重影响站点安全的巨大威胁,恶意的流量会导致网站无法正常运营。亚马逊云科技可提供多款安全防护工具,为用户的站点安全竖起坚实的屏障。

DDoS 类型

洪水攻击

经典的 DDoS 攻击类型,这种攻击方式会向攻击对象发送大量的流量,使目标站点的带宽完全被占用,从而造成流量堵塞,使合法流量无法流入或流出目标站点。

协议攻击

协议攻击旨在利用协议堆栈中第 3 层和第 4 层的弱点,来消耗网络基础设施资源(如服务器、防火墙和负载平衡器)的处理能力。常见的协议攻击有 SYN 洪水攻击。

应用层攻击

一些更复杂的 DDoS 攻击利用应用层(第 7 层)中的弱点,发送大量的 http 请求消耗站点有限的磁盘空间和可用内存等资源,致使网络超载。针对应用层的攻击很难防御,因为我们很难辨别恶意流量和合法流量。

DDoS 防护技术

智能 DNS 解析 _DDoS 防护技术

智能 DNS 解析

这项技术改变了我们一个域名对应一个镜像的认知。智能 DNS 服务除常规的域名解析功能外,还可对服务器进行宕机检测。当系统检测到网站目前使用的服务器处于宕机状态,即立刻将瘫痪的服务器IP切换至正常服务器 IP,为站点的正常运行保驾护航。

扩展带宽和服务器容量

DDoS 攻击的主要原理是占用目标站点的带宽(或传输)容量和服务器容量,因此我们可以考虑扩展这些部位的容量,从而使服务器有足够的空间来处理大量流量,这样即使网站遭受到 DDoS 攻击,我们也能保证正常的用户请求不会遭到阻拦。

容量扩展 _DDoS 防护技术
防火墙 _ddos 防护技术

部署防火墙

最有效的 DDoS 防护是为复杂的应用程序部署 web 应用程序防火墙以抵御那些企图利用程序本身漏洞而发起的攻击,如 SQL 注入。当您的程序遭到攻击时,防火墙会在您的网站和可疑流量之间筑起一道屏障,禁止可疑流量的进入。

DDoS 防御工具

Amazon WAF - Web 应用程序防火墙

Amazon WAF 是一款 Web 应用程序防火墙,可帮助保护您的 Web 应用程序或 API 免受可能影响可用性、危及安全性或消耗过多资源的常见网络攻击和机器人攻击。

Amazon CloudFront

Amazon CloudFront 是一种快速的内容分发网络 (CDN) 服务,可以在开发人员友好环境中以低延迟和高传输速度向全球客户安全分发数据、视频、应用程序和 API。

Elastic Load Balancing

Elastic Load Balancing 在多个 Amazon EC2 实例间自动分配应用程序的访问流量。它可以让您实现更高水平的应用程序容错性能,同时持续提供分配应用程序流量所需的负载均衡能力。

Amazon Route 53

Amazon Route 53 是一种高度可用且可扩展的云域名系统 (DNS) Web 服务。该服务可以将名称(如 www.example.com)转换为计算机用来相互连接的数字 IP 地址(如 192.0.2.1),从而为开发人员和企业提供一种极其可靠且经济高效的方式将最终用户路由到互联网应用程序。

准备好体验 Amazon DDoS 防护相关技术吗?

新用户注册,可免费体验 12 个月

欢迎加入亚马逊云科技培训中心

从 0 到 1 轻松上手云服务,获取更多官方开发资源及培训教程