当前位置:首页 > 短网址资讯 > 正文内容

FT12短网址:互联网创业公司如何防御 DDoS 攻击?

www.ft12.com8年前 (2017-07-06)短网址资讯1769

知乎网友一:

作者:gashero

在果壳网任职期间经历过多次DDoS攻击。那种绝望的心情,还历历在目。问题不是你能做什么,而是机房决定了其实你什么都做不了。

攻击者是控制一个足够大的分布式集群来发起攻击,各种杂七杂八的包,什么都会有。根本不在乎你开的什么服务,也没那耐心分析你有什么服务。比如哪怕你根本没开UDP的任何服务,但他就是发一大堆UDP的包,把你带宽占满。还有啥办法。

十多年前的OS还没法应付大量TCP并发连接,于是那个年代有个SYN flood攻击,就是一大堆SYN包尝试握手。现代也有,效果大不如前,但是仍然在大流量下可以阻塞受害者的通信能力。

更现实的问题在于,机房的总带宽有限。当你的服务器IP段受到攻击时,他会直接找上级接入商将发给你的包在主干网上都丢掉。此时虽然知道自己正在被DDoS攻击,但攻击包根本就没到机房,更别说服务器,于是只能是守着服务器,毫无流量,等待。

上级接入商大多是垄断国企,根本没耐心跟你做任何深层次合作,直接丢包是最简单方便的方法。同时,即便此时攻击者停止了攻击,你也不知道。而想要上级接入商重新开启给你的包转发,动则就是个一天的流程。而一旦发现攻击还没完,就立刻又是丢包。

那几年被攻击时,也火烧火燎的找办法。尝试将网站部署到云计算平台上,依靠对方提供的带宽冗余来顶。甚至可能只是拼短期带宽的费用。当时国内的云计算提供商试了好几家,最终都因为没有足够的带宽应对攻击而拒绝了我们。他们都是出于对果壳网的喜爱和免费帮忙的,能做到这一步也挺不容易了。

有人提到攻击弱点,我感觉真正这样花费精力去分析的攻击者其实不多见。不过大多攻击确实会避开一些明显抗攻击能力不错的点,比如很多网站的首页会做静态化,所以攻击首页就不划算。图片同理,对CPU消耗太小了。

几个常见的弱点:

1、登录认证
2、评论
3、用户动态
4、ajax api

总之涉嫌写数据库,联表查询,缓存涧出的都是好目标。

所以,回答就是:没有啥好办法,耐心等待吧。

看了其他几个回答提供的方案,分别分析一下:

1、拼带宽:或者说拼软妹币,这不是一点点钱能搞定的,果壳网彼时只买了不足100M带宽,所在早期机房总带宽也不足40G,攻击带宽都没见过低于10G的(机房的人后来告诉我的)。假设某便宜机房(肯定不在北上广深),带宽价格为100元/M*月,每月按峰值计费。则要买10G带宽顶一下,需要的月费是100万,100万……

2、流量清洗&封IP:如前述,要这么做的前提是攻击包至少要到你的机房。而机房自保的措施导致了数据包根本到不了机房,无解

3、CDN服务:现代CDN提供商还没有完善的动态网页加速技术,所以结果就是,你充其量利用CDN保住静态化的主页可以访问,其他任何动态网站功能就只能呵呵了。

知乎网友二:

作者:匿名用户

1) 一看到业余的就忍不住了
2)不要再被国内的2流厂商忽悠了,渣渣们。
3)DDOS不是百度百科上面说的那几种,基于协议和流量的那些DDOS攻击早就不是问题,应对方案也很成熟。

4)DDOS攻击2大关键:
一,分布式;二,针对服务。

第一个,无解,道高一尺魔高一丈。

第二个,服务!服务!服务!念三次,知道DDOS的目标是什么吗?是所有服务吗?
不是,是你的system内的设计不好的服务,是要合理将服务单元划分,服务和服务之间设计时就要将耦合度降到最低,牵一发而动全身的system,怎么去做defence。

对于任何DDOS攻击你需要的不是防御方案,不是某一个设备,是一个Team,能够快速reaction,能够做system analysis,深度理解你们产品architecture。
出了问题,能第一时间对脆弱服务提出解决方案。
出了问题,能第一时间攻击源有定位。
一个企业/政府单位/事业机构被DDOS,是技术问题?图样图森破。
果断报警吧,小伙子。
--------------------------------------------------------------------------
总结一次:
1)DDOS发生前可能永远都无法预知,因此,应急方案一定要有。
2)DDOS发生后可能短时间无法完全防御,因此要有保证最小服务的生存的意思。
3)DDOS攻击源可能很难定位,甚至无计可施,但是最接近你的一级的入口流量,你完全可以控制。
首先求自己,然后求别人。
4)商场似战场,但是不是战场,在灾难最重要的是对你用户负起责任。

知乎网友三:

作者:孙维

最近刚码了一篇有关DDoS的文章,在此分享给大家,欢迎拍砖讨论,全文如下:


标题:DDoS,十年漫谈


一、关乎资源的战争


何为DDoS?


DDoS全称Distributed Denial of Service,即分布式拒绝服务攻击。


通俗点讲就是利用多于对方的火力来火并,最终把对手打趴下。这个火力就是资源,或带宽或计算资源,横行网络多年的黑客其实最不缺的就是资源,更不用说专职DDoS攻击的黑产了。


服务器、PC、Pad、手机、智能电视、路由器、打印机、摄像头。想象一下,在网络世界夜幕低垂时,这些数字节点如同四面八方的萤火虫般为某次DDoS攻击默默地贡献自己的资源,前赴后继,直至目标业务无法正常运行。


其实在吃货的世界里也时常见到DDoS经典场景。


街角一家馄饨店开门营业,结果进来一票无赖把餐桌全占且不点单,客人也不敢进去,从而导致生意全无,这属于恶意的DDoS攻击。


楼下张大妈每天早上只卖100碗面条,然后突然一辆旅游大巴停靠下来,车上旅客把面条买光了,导致张大妈的常客早上都没面条吃,这也是DDoS攻击。

DDoS江湖地位如何?


在黑客世界的兵器谱上,不同于水坑攻击或鱼叉攻击,DDoS明显属于摧城拔寨的明星武器,也正是因为DDoS攻击易攻难守,野蛮肆虐,因此也有着很高的江湖地位和出镜率,放到武侠世界里,DDoS至少是东邪西毒级别的高手。


江湖地位高,在电视里也有所体现,看看在2015年金球奖夺魁的美剧《MR. Robot》和韩剧《幽灵》等黑客题材电视剧,DDoS攻击都在重要剧情中出现,也算是网络攻击的代言词之一。好多人会觉得电视是骗人的,现实里网络攻击哪有这么夸张,笔者只能说你们图样图森破,现实更残酷,熟悉的场景,熟悉的方式,每天都在发生,不同的只有攻击者和目标。

出镜率高是因为易攻难守,十多年过去,TCP协议并未改变,因此利用TCP协议弱点的DDoS方法也没有过时。2002年的攻击工具现在还能凑效,而应对DDoS的方法也只能迭代更新,对付DDoS并没有一劳永逸的银弹。很多企业的安全防护体系都是在被虐中成长,从攻击中学习,十余年的攻防积累才形成现在的保障能力。


为什么DDoS频发?


从技术层面分析与资源有着紧密联系,它们简单粗暴地吞噬带宽和计算资源,最终迫使业务访问异常,当然这是表象。黑客的诉求从来不是如此,DDoS只是他们手里的筹码,要么敲诈勒索、要么利益冲突、要么表达政治立场。人在江湖飘,哪有不挨刀,不管是要钱还是要命,杀人越货从古至今延续到现在,从人的江湖蔓延到网络世界,甚至愈演愈烈。


某网络游戏上线公测前10分钟,主力机房遭遇DDoS攻击,带宽瞬间被占满,上游路由节点被打瘫,游戏发行商被迫宣布停止公测。


某地国土资源交易中心在线拍卖市中心“地王”标段,价格屡创新高,盘中突然遭遇DDoS攻击,最终导致废标。


诸如此类的案例数不胜数,敲诈勒索已然成为了阳光产业,明码标价,1000台在线主机一天500元,四处可见DDoS的黑产广告,一如满大街的办证和发票广告一样刺眼,最让人瞠目结舌的是,大多有关DDoS攻击的文章评论区都被这些黑产广告霸占,你在上边喊捉贼,他们在下面吆喝买卖,和谐共处。

而运营商带宽租赁成本相当昂贵,1G的带宽一年费用大致20万左右,因此大多数客户都是按需购买带宽,根本没有足够的闲置资源来对付攻击,那攻击来了怎么办,老乡们不用怕,还可以找专业DDoS防护厂商。


说到底,DDoS是一场关乎资源的战争,攻击方式和诉求时有变化,不变的唯有占据高比例的妥协和退步


二、 新趋势、新挑战


在DDoS的世界里,旧的攻击方法还没退出历史舞台,新的攻击手段已经蜂拥而至,各类反射型攻击大有四两拨千斤的味道。于是乎夹杂着UDP Flood、CC、DNS和NTP反射的混合攻击四处肆虐,大有大军过境寸草不生之势。


混合型攻击比例大幅增长,少数混合型攻击至多会用到5种以上方法组合,这给攻击检测和流量清洗都带来了更大的挑战,此为趋势之一

十年之前,最大的DDoS流量不超过8Gbps,十年之后,最大的攻击流量已经是8Gbps的50倍开外。


2013年以前DDoS攻击没有超过200Gbps。

2013年3月国际非营利性组织Spamhaus遭受300Gbps的攻击。

2014年2月CloudFlare遭受400Gbps的攻击。

2014年12月阿里云上某客户遭受453Gbps的攻击。


一个接一个的历史记录被残酷地刷新,令人庆幸的是,针对云上某客户的453Gbps的攻击被阿里云扛下来了,此次攻击涉及20万家庭、5万服务器、50个IDC机房,黑产控制资源之多让人震惊,但问题是又有几家企业拥有等同阿里云的带宽资源和DDoS清洗技术。

453G是个什么概念,笔者举个例子,某省骨干网有两个出口,一个出口在省会城市,带宽是700G。另一个出口在某地级市,出口是500G。453Gbps的攻击流量能够瞬间搞瘫该省除这两个城市之外的任意城市城域网,当然500G带宽的那个出口城市同样也是岌岌可危。


Arbor Network在第11届年度全球基础设施安全报告中披露2015年的DDoS攻击强度超过500Gbps,而且DDoS攻击流量在100Gbps以上的案例越来越多,攻击流量屡刷新高,没有最高,只有更高。


大流量很厉害,是不是小流量DDoS攻击造成的破坏要小一些呢,答案是否定的。


小流量分为“小而快”和“小而慢”两种,小而快的DDoS攻击像夜幕中的刺客,擅长隐蔽,可能你还未觉察到它,它就已经完成了一次攻击。业界叫这类攻击为脉冲攻击,老外把它叫做Hit-and-Run DDoS,顾名思义就是打完就跑,小而快的DDoS攻击令大多数网络游戏厂商头疼不已。

小而慢的DDoS攻击如同塞外沙漠龙门客栈的老板娘金镶玉,一颦一笑风情万千温柔种种,但就在不经意间勾走汉子的心思。小而慢攻击主要针对于业务逻辑不够完善或协议漏洞发起,比起小而快,小而慢更不会让人发现和识别,堪称DDoS猥琐流代表。

DDoS攻击两极分化愈发明显,流量大者来势迅猛,攻城掠地只在弹指间。流量小者隐而不发,杀敌于无形之中。此为趋势之二


攻击设备从IDC机房和办公室走向千家万户,从最开始的服务器、PC电脑,再到Pad、手机、家里的路由器、智能电视、智能摄像头等智能家居设备,都有可能成为DDoS的攻击源头。


十年前的IDC在5M、10M销售带宽,十年后的今天,笔者家里是电信100M的光纤到户,20M、50M的家庭宽带已经普及,而且资费相对而言下降了许多。同样黑客会感谢摩尔定律,让现在的手机等智能设备的计算能力和性能超越了十多年前的古董PC电脑。


想象一下,家里那闪烁不停的路由器,它已经被黑客控制,正在参与某起精心筹划的攻击。公司那台连网的自动咖啡机,一边煮着芳香四溢的咖啡,另一边正攻击着某个金融网站。行驶在城市快速道上的汽车,低沉的引擎声下,车载智能终端正向外发起DDoS攻击请求。

家庭网络丰富的带宽资源和计算资源成为孕育DDoS攻击的新温床,攻击设备从专业数据节点星火燎原到千家万户,此为趋势之三


DDoS的新趋势当然还有攻击目标行业的变化,黑产业务链条的变化等等,篇幅有限就不再一一展开。


三、新长征路上的抗D


桃李春风一杯酒,江湖夜雨十年灯。


凭借一己之力,背着盒子去抗D的热血岁月一去不复返,在攻防资源极其不对等的今天,受制于出口带宽,单个硬件盒子的功效极大的弱化,通过部署硬件来防护DDoS攻击的单一模式可能会慢慢淘汰,大流量扛不住,运维成本过高,诸多的原因驱使着这一模式发生改变。


再看今天,攻防环境越发复杂,DDoS攻击的门槛越来越低,而防护成本随着清洗性能大幅增高,业务系统的复杂性也降低了攻击检测的精准度,不同于如同病毒和恶意代码等攻击防护,DDoS强调成本和资源的特殊性增加了企业自建防护体系的难度和成本。


换句话说,除非企业有钱任性,并且拥有丰富经验的安全团队,抛开此类笔者还是建议找专业Anti-DDoS服务提供商。


Anti-DDoS服务模式其实也有较大的变化,最早是本地清洗,等敌军杀到家门口再出门迎敌,那时候敌军规模不算大,虽然把家门口的敌军干掉了,但是上游通道还是被堵死了。然后是CDN模式,试图通过DNS智能解析来缓解DDoS攻击,但是CDN初衷是为了加速,并且只支持Web模式。


再然后就来到了云防护时代,大多数的云计算服务提供商自己云上的客户会经常遭受DDoS攻击,为了解决云上客户的DDoS问题,云服务提供商会形成了自己的一套完整DDoS解决方案,正如阿里云提及的十年攻防一朝成盾,这就是一个经典的场景,云清洗效果得到市场认可之后,广阔天地大有作为,云服务提供商的DDoS清洗服务就面向广大众多非云用户了。

其实说到这里,云服务提供商的DDoS清洗服务有两个隐形优势:


一是云上业务包罗万象,电商、游戏、金融、新型互联网,安全团队经过无数次攻防对抗之后,对各类业务的深刻理解以及DDoS检测规则与业务的耦合度非常人所能及;


二是云服务提供商具备丰富的带宽资源,它可以将闲置带宽通过“去库存”的方式应用到抗D事业中去,这也是一般的云清洗服务商所不能提供的


这是最好的时代,也是最坏的时代。


万物互联和智能生活的数字变革已然将临,数字变革给我们生活带来便捷的同时,同样也会从网络暗面进行破坏。如果哪天你看到“黑客利用5万台在线豆浆机攻瘫某金融机构官网24小时”这样的头条新闻,请不要惊讶,这就是关于未来可以预见的结果。

也不知道要等到什么时候,才能为DDoS写下一段墓志铭。


扫描二维码推送至手机访问。

版权声明:本文由短链接发布,如需转载请注明出处。

本文链接:https://www.ft12.com/article_265.html

分享给朋友:

相关文章

类似http://t.cn/xxxxx的短链接如何生成?

类似http://t.cn/xxxxx的短链接如何生成?

很多人在营销推广中都要使用到短网址,新浪短网址是大家最先接触到的,服务也很稳定,所以需求量也很大。据不完全统计,大概每天有几十亿条t.cn短链接生成。如此巨大的数量,难道都是先登录新浪微博,然后发布微博自动生成短链接?这种方法有两个弊端。第...

短网址网站对每条短链接安全性的检测方法

短网址站,顾名思义就是把长网址缩短成很短的短链接并提供跳转服务。当用户访问短链接时,短网址站会检索数据库中此条短链接对应的真实网址,并快速跳转到真实的长网址。世界本来就是一片祥和,但是总有一些不法分子利用短链接来隐藏真实网址,然后群发恶意网...

央行担心升值太快,人民币大逆转!

央行担心升值太快,人民币大逆转!

人民币大逆转!央行担心升值太快原上草人民币的走势非常神秘,经常会出现一些我们预想不到的情形,比如,对内物价上涨,表现为贬值,对外却不断升值;再比如,经济形势不太好,大家都认为要贬值的时候,它突然180度大转弯,来了个措手不及的升值。截止到上...

共享单车的横空出世代表中国已走进共享经济时代

共享单车的横空出世代表中国已走进共享经济时代

在我国共享经济中,创业公司已经尝了好几个月甜头了。 也许是甜头太多。共享单车职业摘下第一个苹果,而答应手机用户同享充电宝的公司在最近几周内最少筹资1.5亿美元。 但与此同时,一家创业公司最近宣布,估计今年将在广州同享最少50万把雨伞,而坐落...

亚马逊又盯上在线药品零售

北京时间7日消息,CNBC援引电邮和未具名人士报道称,亚马逊正就是否要在网上销售处方药进行最后的决策,亚马逊据称将在感恩节前决定是否要在网上销售处方药。报道称,如果公司决定进军这个领域,其将在高层团队中扩充药物供应链专家。受此消息影响,药店...

如何在一个月内,低成本获取前1000个高质量种子用户?

【来源丨人人都是产品经理】【编辑丨善小花】 要钱没钱,要资源没资源,想到起步获取种子用户就头大?辛辛苦苦熬夜写出的内容没人看,拉不来一个用户?拉来的用户只想褥羊毛不会反馈贡献,羊毛褥完就跑?眼看有上千号种子用户,但是却没有几个能够...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。