1. <tr id="33chb"><label id="33chb"></label></tr>
  2. <pre id="33chb"></pre>
    當前位置:首頁 > 短網址資訊 > 正文內容

    FT12短網址:互聯網創業公司如何防御 DDoS 攻擊?

    知乎網友一:

    作者:gashero

    在果殼網任職期間經歷過多次DDoS攻擊。那種絕望的心情,還歷歷在目。問題不是你能做什么,而是機房決定了其實你什么都做不了。

    攻擊者是控制一個足夠大的分布式集群來發起攻擊,各種雜七雜八的包,什么都會有。根本不在乎你開的什么服務,也沒那耐心分析你有什么服務。比如哪怕你根本沒開UDP的任何服務,但他就是發一大堆UDP的包,把你帶寬占滿。還有啥辦法。

    十多年前的OS還沒法應付大量TCP并發連接,于是那個年代有個SYN flood攻擊,就是一大堆SYN包嘗試握手?,F代也有,效果大不如前,但是仍然在大流量下可以阻塞受害者的通信能力。

    更現實的問題在于,機房的總帶寬有限。當你的服務器IP段受到攻擊時,他會直接找上級接入商將發給你的包在主干網上都丟掉。此時雖然知道自己正在被DDoS攻擊,但攻擊包根本就沒到機房,更別說服務器,于是只能是守著服務器,毫無流量,等待。

    上級接入商大多是壟斷國企,根本沒耐心跟你做任何深層次合作,直接丟包是最簡單方便的方法。同時,即便此時攻擊者停止了攻擊,你也不知道。而想要上級接入商重新開啟給你的包轉發,動則就是個一天的流程。而一旦發現攻擊還沒完,就立刻又是丟包。

    那幾年被攻擊時,也火燒火燎的找辦法。嘗試將網站部署到云計算平臺上,依靠對方提供的帶寬冗余來頂。甚至可能只是拼短期帶寬的費用。當時國內的云計算提供商試了好幾家,最終都因為沒有足夠的帶寬應對攻擊而拒絕了我們。他們都是出于對果殼網的喜愛和免費幫忙的,能做到這一步也挺不容易了。

    有人提到攻擊弱點,我感覺真正這樣花費精力去分析的攻擊者其實不多見。不過大多攻擊確實會避開一些明顯抗攻擊能力不錯的點,比如很多網站的首頁會做靜態化,所以攻擊首頁就不劃算。圖片同理,對CPU消耗太小了。

    幾個常見的弱點:

    1、登錄認證
    2、評論
    3、用戶動態
    4、ajax api

    總之涉嫌寫數據庫,聯表查詢,緩存澗出的都是好目標。

    所以,回答就是:沒有啥好辦法,耐心等待吧。

    看了其他幾個回答提供的方案,分別分析一下:

    1、拼帶寬:或者說拼軟妹幣,這不是一點點錢能搞定的,果殼網彼時只買了不足100M帶寬,所在早期機房總帶寬也不足40G,攻擊帶寬都沒見過低于10G的(機房的人后來告訴我的)。假設某便宜機房(肯定不在北上廣深),帶寬價格為100元/M*月,每月按峰值計費。則要買10G帶寬頂一下,需要的月費是100萬,100萬……

    2、流量清洗&封IP:如前述,要這么做的前提是攻擊包至少要到你的機房。而機房自保的措施導致了數據包根本到不了機房,無解

    3、CDN服務:現代CDN提供商還沒有完善的動態網頁加速技術,所以結果就是,你充其量利用CDN保住靜態化的主頁可以訪問,其他任何動態網站功能就只能呵呵了。

    知乎網友二:

    作者:匿名用戶

    1) 一看到業余的就忍不住了
    2)不要再被國內的2流廠商忽悠了,渣渣們。
    3)DDOS不是百度百科上面說的那幾種,基于協議和流量的那些DDOS攻擊早就不是問題,應對方案也很成熟。

    4)DDOS攻擊2大關鍵:
    一,分布式;二,針對服務。

    第一個,無解,道高一尺魔高一丈。

    第二個,服務!服務!服務!念三次,知道DDOS的目標是什么嗎?是所有服務嗎?
    不是,是你的system內的設計不好的服務,是要合理將服務單元劃分,服務和服務之間設計時就要將耦合度降到最低,牽一發而動全身的system,怎么去做defence。

    對于任何DDOS攻擊你需要的不是防御方案,不是某一個設備,是一個Team,能夠快速reaction,能夠做system analysis,深度理解你們產品architecture。
    出了問題,能第一時間對脆弱服務提出解決方案。
    出了問題,能第一時間攻擊源有定位。
    一個企業/政府單位/事業機構被DDOS,是技術問題?圖樣圖森破。
    果斷報警吧,小伙子。
    --------------------------------------------------------------------------
    總結一次:
    1)DDOS發生前可能永遠都無法預知,因此,應急方案一定要有。
    2)DDOS發生后可能短時間無法完全防御,因此要有保證最小服務的生存的意思。
    3)DDOS攻擊源可能很難定位,甚至無計可施,但是最接近你的一級的入口流量,你完全可以控制。
    首先求自己,然后求別人。
    4)商場似戰場,但是不是戰場,在災難最重要的是對你用戶負起責任。

    知乎網友三:

    作者:孫維

    最近剛碼了一篇有關DDoS的文章,在此分享給大家,歡迎拍磚討論,全文如下:


    標題:DDoS,十年漫談


    一、關乎資源的戰爭


    何為DDoS?


    DDoS全稱Distributed Denial of Service,即分布式拒絕服務攻擊。


    通俗點講就是利用多于對方的火力來火并,最終把對手打趴下。這個火力就是資源,或帶寬或計算資源,橫行網絡多年的黑客其實最不缺的就是資源,更不用說專職DDoS攻擊的黑產了。


    服務器、PC、Pad、手機、智能電視、路由器、打印機、攝像頭。想象一下,在網絡世界夜幕低垂時,這些數字節點如同四面八方的螢火蟲般為某次DDoS攻擊默默地貢獻自己的資源,前赴后繼,直至目標業務無法正常運行。


    其實在吃貨的世界里也時常見到DDoS經典場景。


    街角一家餛飩店開門營業,結果進來一票無賴把餐桌全占且不點單,客人也不敢進去,從而導致生意全無,這屬于惡意的DDoS攻擊。


    樓下張大媽每天早上只賣100碗面條,然后突然一輛旅游大巴??肯聛?,車上旅客把面條買光了,導致張大媽的??驮缟隙紱]面條吃,這也是DDoS攻擊。

    DDoS江湖地位如何?


    在黑客世界的兵器譜上,不同于水坑攻擊或魚叉攻擊,DDoS明顯屬于摧城拔寨的明星武器,也正是因為DDoS攻擊易攻難守,野蠻肆虐,因此也有著很高的江湖地位和出鏡率,放到武俠世界里,DDoS至少是東邪西毒級別的高手。


    江湖地位高,在電視里也有所體現,看看在2015年金球獎奪魁的美劇《MR. Robot》和韓劇《幽靈》等黑客題材電視劇,DDoS攻擊都在重要劇情中出現,也算是網絡攻擊的代言詞之一。好多人會覺得電視是騙人的,現實里網絡攻擊哪有這么夸張,筆者只能說你們圖樣圖森破,現實更殘酷,熟悉的場景,熟悉的方式,每天都在發生,不同的只有攻擊者和目標。

    出鏡率高是因為易攻難守,十多年過去,TCP協議并未改變,因此利用TCP協議弱點的DDoS方法也沒有過時。2002年的攻擊工具現在還能湊效,而應對DDoS的方法也只能迭代更新,對付DDoS并沒有一勞永逸的銀彈。很多企業的安全防護體系都是在被虐中成長,從攻擊中學習,十余年的攻防積累才形成現在的保障能力。


    為什么DDoS頻發?


    從技術層面分析與資源有著緊密聯系,它們簡單粗暴地吞噬帶寬和計算資源,最終迫使業務訪問異常,當然這是表象。黑客的訴求從來不是如此,DDoS只是他們手里的籌碼,要么敲詐勒索、要么利益沖突、要么表達政治立場。人在江湖飄,哪有不挨刀,不管是要錢還是要命,殺人越貨從古至今延續到現在,從人的江湖蔓延到網絡世界,甚至愈演愈烈。


    某網絡游戲上線公測前10分鐘,主力機房遭遇DDoS攻擊,帶寬瞬間被占滿,上游路由節點被打癱,游戲發行商被迫宣布停止公測。


    某地國土資源交易中心在線拍賣市中心“地王”標段,價格屢創新高,盤中突然遭遇DDoS攻擊,最終導致廢標。


    諸如此類的案例數不勝數,敲詐勒索已然成為了陽光產業,明碼標價,1000臺在線主機一天500元,四處可見DDoS的黑產廣告,一如滿大街的辦證和發票廣告一樣刺眼,最讓人瞠目結舌的是,大多有關DDoS攻擊的文章評論區都被這些黑產廣告霸占,你在上邊喊捉賊,他們在下面吆喝買賣,和諧共處。

    而運營商帶寬租賃成本相當昂貴,1G的帶寬一年費用大致20萬左右,因此大多數客戶都是按需購買帶寬,根本沒有足夠的閑置資源來對付攻擊,那攻擊來了怎么辦,老鄉們不用怕,還可以找專業DDoS防護廠商。


    說到底,DDoS是一場關乎資源的戰爭,攻擊方式和訴求時有變化,不變的唯有占據高比例的妥協和退步。


    二、 新趨勢、新挑戰


    在DDoS的世界里,舊的攻擊方法還沒退出歷史舞臺,新的攻擊手段已經蜂擁而至,各類反射型攻擊大有四兩撥千斤的味道。于是乎夾雜著UDP Flood、CC、DNS和NTP反射的混合攻擊四處肆虐,大有大軍過境寸草不生之勢。


    混合型攻擊比例大幅增長,少數混合型攻擊至多會用到5種以上方法組合,這給攻擊檢測和流量清洗都帶來了更大的挑戰,此為趨勢之一。

    十年之前,最大的DDoS流量不超過8Gbps,十年之后,最大的攻擊流量已經是8Gbps的50倍開外。


    2013年以前DDoS攻擊沒有超過200Gbps。

    2013年3月國際非營利性組織Spamhaus遭受300Gbps的攻擊。

    2014年2月CloudFlare遭受400Gbps的攻擊。

    2014年12月阿里云上某客戶遭受453Gbps的攻擊。


    一個接一個的歷史記錄被殘酷地刷新,令人慶幸的是,針對云上某客戶的453Gbps的攻擊被阿里云扛下來了,此次攻擊涉及20萬家庭、5萬服務器、50個IDC機房,黑產控制資源之多讓人震驚,但問題是又有幾家企業擁有等同阿里云的帶寬資源和DDoS清洗技術。

    453G是個什么概念,筆者舉個例子,某省骨干網有兩個出口,一個出口在省會城市,帶寬是700G。另一個出口在某地級市,出口是500G。453Gbps的攻擊流量能夠瞬間搞癱該省除這兩個城市之外的任意城市城域網,當然500G帶寬的那個出口城市同樣也是岌岌可危。


    Arbor Network在第11屆年度全球基礎設施安全報告中披露2015年的DDoS攻擊強度超過500Gbps,而且DDoS攻擊流量在100Gbps以上的案例越來越多,攻擊流量屢刷新高,沒有最高,只有更高。


    大流量很厲害,是不是小流量DDoS攻擊造成的破壞要小一些呢,答案是否定的。


    小流量分為“小而快”和“小而慢”兩種,小而快的DDoS攻擊像夜幕中的刺客,擅長隱蔽,可能你還未覺察到它,它就已經完成了一次攻擊。業界叫這類攻擊為脈沖攻擊,老外把它叫做Hit-and-Run DDoS,顧名思義就是打完就跑,小而快的DDoS攻擊令大多數網絡游戲廠商頭疼不已。

    小而慢的DDoS攻擊如同塞外沙漠龍門客棧的老板娘金鑲玉,一顰一笑風情萬千溫柔種種,但就在不經意間勾走漢子的心思。小而慢攻擊主要針對于業務邏輯不夠完善或協議漏洞發起,比起小而快,小而慢更不會讓人發現和識別,堪稱DDoS猥瑣流代表。

    DDoS攻擊兩極分化愈發明顯,流量大者來勢迅猛,攻城掠地只在彈指間。流量小者隱而不發,殺敵于無形之中。此為趨勢之二。


    攻擊設備從IDC機房和辦公室走向千家萬戶,從最開始的服務器、PC電腦,再到Pad、手機、家里的路由器、智能電視、智能攝像頭等智能家居設備,都有可能成為DDoS的攻擊源頭。


    十年前的IDC在5M、10M銷售帶寬,十年后的今天,筆者家里是電信100M的光纖到戶,20M、50M的家庭寬帶已經普及,而且資費相對而言下降了許多。同樣黑客會感謝摩爾定律,讓現在的手機等智能設備的計算能力和性能超越了十多年前的古董PC電腦。


    想象一下,家里那閃爍不停的路由器,它已經被黑客控制,正在參與某起精心籌劃的攻擊。公司那臺連網的自動咖啡機,一邊煮著芳香四溢的咖啡,另一邊正攻擊著某個金融網站。行駛在城市快速道上的汽車,低沉的引擎聲下,車載智能終端正向外發起DDoS攻擊請求。

    家庭網絡豐富的帶寬資源和計算資源成為孕育DDoS攻擊的新溫床,攻擊設備從專業數據節點星火燎原到千家萬戶,此為趨勢之三。


    DDoS的新趨勢當然還有攻擊目標行業的變化,黑產業務鏈條的變化等等,篇幅有限就不再一一展開。


    三、新長征路上的抗D


    桃李春風一杯酒,江湖夜雨十年燈。


    憑借一己之力,背著盒子去抗D的熱血歲月一去不復返,在攻防資源極其不對等的今天,受制于出口帶寬,單個硬件盒子的功效極大的弱化,通過部署硬件來防護DDoS攻擊的單一模式可能會慢慢淘汰,大流量扛不住,運維成本過高,諸多的原因驅使著這一模式發生改變。


    再看今天,攻防環境越發復雜,DDoS攻擊的門檻越來越低,而防護成本隨著清洗性能大幅增高,業務系統的復雜性也降低了攻擊檢測的精準度,不同于如同病毒和惡意代碼等攻擊防護,DDoS強調成本和資源的特殊性增加了企業自建防護體系的難度和成本。


    換句話說,除非企業有錢任性,并且擁有豐富經驗的安全團隊,拋開此類筆者還是建議找專業Anti-DDoS服務提供商。


    Anti-DDoS服務模式其實也有較大的變化,最早是本地清洗,等敵軍殺到家門口再出門迎敵,那時候敵軍規模不算大,雖然把家門口的敵軍干掉了,但是上游通道還是被堵死了。然后是CDN模式,試圖通過DNS智能解析來緩解DDoS攻擊,但是CDN初衷是為了加速,并且只支持Web模式。


    再然后就來到了云防護時代,大多數的云計算服務提供商自己云上的客戶會經常遭受DDoS攻擊,為了解決云上客戶的DDoS問題,云服務提供商會形成了自己的一套完整DDoS解決方案,正如阿里云提及的十年攻防一朝成盾,這就是一個經典的場景,云清洗效果得到市場認可之后,廣闊天地大有作為,云服務提供商的DDoS清洗服務就面向廣大眾多非云用戶了。

    其實說到這里,云服務提供商的DDoS清洗服務有兩個隱形優勢:


    一是云上業務包羅萬象,電商、游戲、金融、新型互聯網,安全團隊經過無數次攻防對抗之后,對各類業務的深刻理解以及DDoS檢測規則與業務的耦合度非常人所能及;


    二是云服務提供商具備豐富的帶寬資源,它可以將閑置帶寬通過“去庫存”的方式應用到抗D事業中去,這也是一般的云清洗服務商所不能提供的。


    這是最好的時代,也是最壞的時代。


    萬物互聯和智能生活的數字變革已然將臨,數字變革給我們生活帶來便捷的同時,同樣也會從網絡暗面進行破壞。如果哪天你看到“黑客利用5萬臺在線豆漿機攻癱某金融機構官網24小時”這樣的頭條新聞,請不要驚訝,這就是關于未來可以預見的結果。

    也不知道要等到什么時候,才能為DDoS寫下一段墓志銘。


    掃描二維碼推送至手機訪問。

    版權聲明:本文由短鏈接發布,如需轉載請注明出處。

    本文鏈接:http://www.virginiabusinesslawupdate.com/article_265.html

    分享給朋友:

    相關文章

    HTTP的長連接和短連接

    HTTP的長連接和短連接

     本文總結&分享網絡編程中涉及的長連接、短連接概念。    關鍵字:Keep-Alive,并發連接數限制,TCP,HTTP一、什么是長連接     HTTP1.1...

    從知識付費不同時期的演化趨勢 看其蛻變軌跡

    從知識付費不同時期的演化趨勢 看其蛻變軌跡

    【FT12短網址資訊】信息技能革命后,泥沙聚下的信息爆炸逐步被精準對接用戶需要的商業開發篩選,常識也從海量的信息中被抽離,搖身一變從免費同享的資本成了待價而沽的商品。上一年知乎、分答、得到等途徑的火爆,真實撬動了常識付費這個萬億規劃的新商場...

    Google對於重複內容的建議

    Google對於重複內容的建議

    Google 線上問答 – 重復內容(2016年6月16日)從此次的問答影片當中可以看到,Google的Andrey Lipattsev非??隙ǖ卣fGoogle對于重復內容并不會給予懲罰。我們認為,他想表達的應該是想讓大家了解到,如果Goo...

    飛來橫財:4.6億購物卡“無人認領” 大潤發母公司收歸己有

    飛來橫財:4.6億購物卡“無人認領” 大潤發母公司收歸己有

    4.6億“無人認領”的預付卡資金,預計會讓高鑫零售交出頗為靚麗的半年報,但資本市場也不太買賬。/來源|面包財經(ID:mianbaocaijing) 不少人都會有購物卡,其中就包括超市購物卡。但是,部分人購物卡里的錢可能沒用完,甚...

    直播行業亂象叢生,超過10家直播平臺被關停,3萬多表演者被處理,

     業界有人預測,2020年網絡直播市場規模將達到600億元,網絡直播及周邊行業市場最終將達到千億元級資金?! ?017年在監管層行業規范行動與“掃黃打非”政策的實施下,直播行業注定無法回到從前野蠻肆意的時期,而是迎來了一個漫長的整...

    同態加密技術:云計算的“防彈衣”

    同態加密技術:云計算的“防彈衣”

    [FT12短網址 ] 云計算促進了全球數據共享,但也引發了人們對隱私安全的擔憂。幸運的是,隨著技術的進步,云計算引入“同態加密”技術,該技術提供了一種對加密數據進行處理的功能,提高了數據的安全隱私保護。圖片來自網絡在人類歷史的進程...

    發表評論

    訪客

    ◎歡迎參與討論,請在這里發表您的看法和觀點。
    一本色综合网久久
    1. <tr id="33chb"><label id="33chb"></label></tr>
    2. <pre id="33chb"></pre>