DDoS教學詳解:識破L7 DDoS攻擊,看懂監控數據的門道(下)

Back
2022-08-12

本文分為下兩篇,以下為全篇內容:

  • 為何監控面板是識破第七層攻擊的必要工具?上篇
  • 必要的視覺化報表有哪些?上篇
  • 如何分析報表判斷是否有異常流量(DDoS攻擊)?上篇
  • 如何看出CDN緩存效能?上篇
  • 如何了解CDN防禦情形(WAF防火牆)?
  • 何謂「回源延遲」?
  • 「自定義」監控面板的重要性

DDoS 防禦教學:分析「請求趨勢」了解 CDN 防禦狀況

一站式CDN管理平台的監控面板上,需可查看特定域名的請求狀況、Http狀態碼的回應情況等,協助判斷CDN的防禦情形。

1. 查看域名訪問狀況

針對域名查看被訪問的狀況:利用篩選器指定域名,再配合Domains Trending & Source IP Trending報表,判斷該IP訪問Domain的狀況。

Domains Trending(域名趨勢圖):數據折線圖可以查看在CDN上流量最高的前10名域名。

Source IPs Trending(來源IP趨勢圖):數據折線圖。可以查看整體流量前10的IPs。

例如:利用篩選器,找到需查看的域名,再配合 Source IPs 報表,可以觀察該域名每個 IP 的請求量。假設查看 abc.com 時,觀察到 IP:1.2.3.4 對此域名的請求量異常高,可能是高過 Top 2 的 2 倍,在正常使用的域名下,此時就能判斷 1.2.3.4 為疑似攻擊的行為。也可進一步從報表上的時間軸觀察 Domain 或 IP 來的流量與時間軸,是否有異常突起的狀況。

DDoS防禦教學3:利用篩選器指定域名,再配合Domains Trending & Source IP Trending報表,判斷該IP訪問Domain的狀況。
DDoS防禦教學3:利用篩選器指定域名,再配合Domains Trending & Source IP Trending報表,判斷該IP訪問Domain的狀況。

🗺️延伸閱讀:殭屍網路是什麼?原理與種類詳細介紹,關鍵4招預防攻擊

2. 分析 Http Code 趨勢

Http狀態碼趨勢:可從 Http 狀態碼趨勢曲線圖表觀察 Http 狀態碼事件的發生,如透過 Http 狀態碼 200 的回應數量,得知當下正常訪問的數據,同時,也可以透過 Http 狀態碼,了解 CDN 防禦狀況。

例如:

200:若 Http 狀態碼 200 的回應數量在一定時間區間內,出現異常的峰值起伏,則可判斷為攻擊,可直接於平台上設置 WAF 規則。

403:若 WAF 規則設置後,可以從數據觀察 Http 狀態碼 403 的回應數量,判斷 WAF 是否生效。

DDoS防禦教學4:從Http狀態碼趨勢曲線圖表,觀察Http狀態碼事件的發生,了解CDN防禦狀況。
DDoS防禦教學4:從Http狀態碼趨勢曲線圖表,觀察Http狀態碼事件的發生,了解CDN防禦狀況。

🗺️延伸閱讀:CDN教學:解析反向代理伺服器原理與優勢,一次帶你了解

3. 該如何理解「Http狀態碼回應耗費時長」?

Status Code Upstream Response Time (seconds):從 Http 狀態碼回應耗費時長,可觀察平均每個時間段 http 狀態碼回源伺服器回應的秒數,如 Http 狀態碼 504,可藉由此功能快速查看,回源伺服器是否超過 CDN 預設 60 秒而 Time out。

例如:藉由此數據,可判斷回源伺服器回應是否異常,如當Http狀態碼499發生,可能為回源伺服器耗時過長(未達Timeout 60s上限),用戶端提前中斷請求,進而CDN也與源伺服器中斷連結,導致出現Http狀態碼499回應,由此判斷可能為源伺服器回應時間過久。

作法:

1. 在 CDN 的配置進階設置 Upstream Timeout 的時間值,預設 60s 可上調 120s 或 180s。

2. 若 180s 還是有 Timeout 的情況,且回源伺服器延遲正常,並確認 http code 499 為源伺服器回應,需請對方檢查源伺服器。

DDoS防禦教學5:從Http狀態碼回應耗費時長報表,可得知回源伺服器是否超過CDN預設60秒而Time out。
DDoS防禦教學5:從Http狀態碼回應耗費時長報表,可得知回源伺服器是否超過CDN預設60秒而Time out。

🗺️延伸閱讀:中國CDN解決方案:必學的CDN優勢與限制,成功進軍中國

【獨家】識別DDoS外,ApeiroCDN監控面板也可查看回源延遲

回源延遲相關報表,可監控回源線路品質,品質不佳會直接影響用戶端瀏覽網頁的速度,若延遲更高甚至會有Timeout的情況,導致體驗不佳,影響網站業績。馬上一起讀懂回源延遲報表!

1. 查看回源延遲速度

Group Origins Latency (ms):可查看過去特定時間段內,整體 CDN 回源伺服器延遲是否出現異常。

例如:想查看整體回源伺服器線路品質時,可以利用此面板觀察與過往的延遲差異。

🗺️延伸閱讀:如何判斷域名被中國防火長城屏蔽(China block)?

2. 利用 Filter 查看特定的源伺服器延遲是否有異常

Origins Latency (ms):透過此面板可以查看,該 Top 10 域名的回源延遲。

例如:以 www.ncu.edu.tw 當作源伺服器,想查看 CDN edge 到源伺服器的延遲狀況如何,可透過 Origins Latency 觀察指定時間段內的回源伺服器1是否有異常起伏,且也可以透過 Origin Status Preview,該回源伺服器設置的各個端口2,查看與前 20 分鐘相比的增長百分比是否下降或上升。

註1和2:此範例以域名為源伺服器,源伺服器的形式可以是域名或者IP。當設備網路互相連線時,需要設置特定的端口給協議使用,如http(80)/https(443),所以在面板上能同時監測兩個端口在回源伺服器延遲與前20分鐘相比的百分比。
CDN獨家功能:市面上唯一CDN平台,可查看CDN與源伺服器之間的傳輸延遲。
CDN獨家功能:市面上唯一CDN平台,可查看CDN與源伺服器之間的傳輸延遲。

3. 如何判斷源伺服器可能無法使用?

Origins Status Preview:可以查看相比20分鐘前的回源伺服器延遲百分比,甚至可以針對該回源伺服器有設置的端口,查看回源伺服器端口延遲狀況。

例如:例如以 www.ncu.edu.tw 當作源伺服器,想查詢 CDN edge 回源伺服器到 www.ncu.edu.tw:1234 以及 www.ncu.edu.tw:9443 的延遲狀況,查看延遲在過去一天的時間內,都維持在 500ms,判斷該回源伺服器為不可用。

🗺️延伸閱讀:CDN廠商大不同!選擇廠商時必問的技術問題、了解資安優勢

【獨家】DDoS防禦教學:自定義監控面板之必要

自定義(個人化)監控面板為何必要?在多年DDoS防禦實戰經驗中,我們發現不同客戶所遭遇的攻擊型態、商務需求等不盡相同,需側重不同的數據分析,因此需要自定義監控面板來實現個人化服務。ApeiroCDN平台擁有最完整的請求內容,能提供超過150項隨選即用報表,也可直接指定數據,自建報表。同時,監控面版的介面可自行安排,協助做出更快速、精準的判斷。

DDoS緩解獨家功能:ApeiroCDN平台擁有最完整的請求內容,能提供超過150項隨選即用報表。
獨家功能:ApeiroCDN平台擁有最完整的請求內容,能提供超過150項隨選即用報表。

🗺️延伸閱讀:WAF是什麼(Web Application Firewall)?傳統防火牆不管用了?

DDoS緩解獨家功能:ApeiroCDN平台監控面板可自選顯示數據與報表類型,且能自由排列、匯入與匯出面板,實現個人化數據分析。
獨家功能:ApeiroCDN平台監控面板可自選顯示數據與報表類型,且能自由排列、匯入與匯出面板,實現個人化數據分析。

1. 如何匯出匯入監控面板?

透過 Export 可以將監控面板資訊匯出Json格式留存,甚至可以修改 Json 資料,再進行匯入,如我們將 ChartTitle:Country_Data 嘗試改名稱為 Country_Data_2 再用貼上 Json 資料匯入即可建立面板。

ApeiroCDN 一站式管理平台的監控面板不論是 Frontend(CDN-用戶端)或 Backend(CDN-源伺服器)都能做到全面數據分析。

  • Frontend(CDN-用戶端):客戶可以查看每日請求量的狀況,藉由監控面板數據來分析異常,甚至將異常的請求量利用 CDN 的 WAF 阻擋時,也能即時查看 WAF 阻擋是否生效且是否有效率。
  • Backend(CDN-源伺服器):客戶可以查看 CDN 回源伺服器的連線品質,甚至可以快速了解到哪個回源伺服器有異常。

🗺️延伸閱讀:殭屍網路猖獗,被動防守沒用!懂分析CDN Log才能預防!

ApeiroCDN一站式CDN管理平台,擁有多項獨家功能,包括:業界最精細 WAF 防火牆、最完整的請求日誌、唯一可視 CDN 與源伺服器之間的傳輸延遲、自定義監控面板、24/7真人技術客服等,達到單一介面滿足所有數據分析,成為防禦DDoS攻擊最強力的後盾,無論您的用戶身在何處,都能享有速度與安全兼具的極佳體驗。

上篇內容:

  • 為何監控面板是識破第七層攻擊的必要工具?上篇
  • 必要的視覺化報表有哪些?上篇
  • 如何分析報表判斷是否有異常流量(DDoS攻擊)?上篇
  • 如何看出CDN緩存效能?上篇

🗺️延伸閱讀:CDN服務:緩解DDoS攻擊背後功臣—24/7監控中心到底忙什麼?

Share this post

Blog