阿里云DDoS高防 - 访问与攻击日志实时分析（一）-阿里云开发者社区

阿里云DDoS高防 - 访问与攻击日志实时分析（一）

2018-05-31 8930

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

对象存储 OSS，20GB 3个月

对象存储 OSS，恶意文件检测 1000次 1年

对象存储 OSS，内容安全 1000次 1年

简介： 阿里云DDoS高防IP的网站访问日志(包含CC攻击日志)目前已经与日志服务打通，提供实时分析与报表中心的功能。

背景

DDoS攻击趋势

互联网界的安全一直都不断的面临着挑战，以ddos攻击为代表的网络威胁直接对网络安全产生严重的影响。

Ddos攻击正在朝着大规模、移动化、全球化的方向发展. 据近年来的调查报告显示，ddos攻击的频率呈现出增长的趋势。黑客攻击的隐蔽性强，能够控制大量的安全措施差的云服务商和IDC甚至海量摄像头发起攻击，其攻击已经形成了成熟的黑色产业链，并且越来越有组织化。

同时，攻击的方式向两极化发展，慢速攻击、混合攻击尤其是CC攻击占比不断增大，这给检测防御造成更大的难度。一方面，超过1TB的攻击峰值屡见不鲜(Github遭受1.35TB DDoS攻击)、100G攻击次数成倍增长，另一方面，应用层攻击也在大幅度翻倍（参考Imperva 2017Q4的DDoS风险报告）

根据卡巴斯基2018Q1的DDoS风险报告，中国依然主要的DDoS攻击源和目标(50%左右). 主要被攻击的行业是互联网(超过50%)、游戏、软件公司、金融等(参考Imperva 2017Q4的DDoS风险报告)。

阿里云DDoS高防IP

阿里云云盾DDoS高防IP是针对互联网服务器（包括非阿里云主机）在遭受大流量的DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。

云盾高防产品目前在全世界多个国家都建设了大容量的清洗中心，整体清洗能力在2T以上，2014年，云盾高防IP防御了全球最大的一次DDoS攻击453.8Gbps。

ddos

阿里云日志服务

阿里云的日志服务（log service）是针对日志类数据的一站式服务，无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能，提升运维、运营效率。日志服务主要包括实时采集与消费、数据投递、查询与实时分析等功能。

sls

阿里云DDoS高防访问与攻击日志实时分析概述

根据APNIC 2017年DDoS风险报告，超过80%DDoS攻击会混合HTTP攻击，而CC攻击尤其隐蔽，因此通过日志对访问和攻击行为进行即时分析研究、附加防护策略就显得尤其重要。

目前，阿里云DDoS高防IP的网站访问日志(包含CC攻击日志)目前已经与日志服务打通，提供实时分析与报表中心的功能。

发布地域

国内
国际

适用客户

对日志存储有合规需求的大型企业与机构，如金融公司、政府类机构等。
需要实时了解DDoS高防整体状况，并对关键业务的DDoS中CC攻击进行深入分析与防护的企业，如金融类、电商类和游戏类企业等。

发布功能：

轻松配置，即可实时高防日志采集。
依托日志服务，提供实时日志分析，并提供开箱机用的报表中心（支持定制），对数据库执行状况、性能、潜在安全问题了如指掌，并可实时挖掘细节。
提供特定免费数据导入额度，以及免费3天的日志存储、查询与实时分析，并可自由扩展存储时间，以便合规、溯源、备案等。支持不限时间的存储，存储成本低至0.35元/GB/月。参考更多免费与收费细则。
支持基于特定指标，支持定制准实时监测与报警，确保关键业务异常及时响应。
可对接其他生态如流计算、云存储、可视化方案，进一步挖掘数据价值。

方案比较

与AWS Shield方案在日志分析方面的比较:
ddos_shield

前提条件

开通日志服务。
开通DDoS服务，购买DDoS高防IP实例，并配置保护网站。

如何配置

正式发布后, 在DDoS控制台简单操作即可打开特定网站的日志.

功能概览

开通配置后即可使用自带的实时分析功能与报表中心.

场景一: 实时网站访问异常排查与问题分析，读写延时，各运营商分布等

查看DDoS访问日志的SQL:

__topic__: ddos_access_log

更多:
sls_log

场景二: CC攻击者分布与来源追踪，溯源并辅助应对策略等

查看CC攻击者的国家分布的SQL:

__topic__: ddos_access_log and cc_blocks > 0| SELECT ip_to_country(if(real_client_ip='-', remote_addr, real_client_ip)) as country, count(1) as "攻击次数" group by country

更多:
sls_dashboard1

场景三: 整体访问监控程度，运维可靠性指标一目了然

查看PV的SQL:

 __topic__: ddos_access_log  | select count(1) as PV

更多:
sls_dashboard2

场景四: 运营分析，网站受欢迎程度，被哪些渠道使用，客户端分布等

查看来自各个网络运营商的访问者的流量分布的SQL:

__topic__: ddos_access_log  | select ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) as provider, round(sum(request_length)/1024.0/1024.0, 3) as mb_in group by provider having ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) <> '' order by mb_in desc limit 10

更多:
sls_dashboard3

进一步参考

我们会介绍更多关于如何配置并使用DDoS高防访问日志对网站运营、访问和安全状况进行详细分析的内容，敬请期待。