網際網路創業公司如何防禦 DDoS 攻擊?採用CDN服務
連結:https://www.zhihu.com/question/19581905/answer/37397087
來源:知乎
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。
攻擊者是控制一個足夠大的分散式叢集來發起攻擊,各種雜七雜八的包,什麼都會有。根本不在乎你開的什麼服務,也沒那耐心分析你有什麼服務。比如哪怕你根本沒開UDP的任何服務,但他就是發一大堆UDP的包,把你頻寬佔滿。還有啥辦法。
十多年前的OS還沒法應付大量TCP併發連線,於是那個年代有個SYN flood攻擊,就是一大堆SYN包嘗試握手。現代也有,效果大不如前,但是仍然在大流量下可以阻塞受害者的通訊能力。
更現實的問題在於,機房的總頻寬有限。當你的伺服器IP段受到攻擊時,他會直接找上級接入商將發給你的包在主幹網上都丟掉。此時雖然知道自己正在被DDoS攻擊,但攻擊包根本就沒到機房,更別說伺服器,於是只能是守著伺服器,毫無流量,等待。
上級接入商大多是壟斷國企,根本沒耐心跟你做任何深層次合作,直接丟包是最簡單方便的方法。同時,即便此時攻擊者停止了攻擊,你也不知道。而想要上級接入商重新開啟給你的包轉發,動則就是個一天的流程。而一旦發現攻擊還沒完,就立刻又是丟包。
那幾年被攻擊時,也火燒火燎的找辦法。嘗試將網站部署到雲端計算平臺上,依靠對方提供的頻寬冗餘來頂。甚至可能只是拼短期頻寬的費用。當時國內的雲端計算提供商試了好幾家,最終都因為沒有足夠的頻寬應對攻擊而拒絕了我們。他們都是出於對果殼網的喜愛和免費幫忙的,能做到這一步也挺不容易了。
有人提到攻擊弱點,我感覺真正這樣花費精力去分析的攻擊者其實不多見。不過大多攻擊確實會避開一些明顯抗攻擊能力不錯的點,比如很多網站的首頁會做靜態化,所以攻擊首頁就不划算。圖片同理,對CPU消耗太小了。
幾個常見的弱點:
1、登入認證
2、評論
3、使用者動態
4、ajax api
總之涉嫌寫資料庫,聯表查詢,快取澗出的都是好目標。
所以,回答就是:沒有啥好辦法,耐心等待吧。
看了其他幾個回答提供的方案,分別分析一下:
1、拼頻寬:或者說拼軟妹幣,這不是一點點錢能搞定的,果殼網彼時只買了不足100M頻寬,所在早期機房總頻寬也不足40G,攻擊頻寬都沒見過低於10G的(機房的人後來告訴我的)。假設某便宜機房(肯定不在北上廣深),頻寬價格為100元/M*月,每月按峰值計費。則要買10G頻寬頂一下,需要的月費是100萬,100萬……
2、流量清洗&封IP:如前述,要這麼做的前提是攻擊包至少要到你的機房。而機房自保的措施導致了資料包根本到不了機房,無解
3、CDN服務:現代CDN提供商還沒有完善的動態網頁加速技術,所以結果就是,你充其量利用CDN保住靜態化的主頁可以訪問,其他任何動態網站功能就只能呵呵了。 發表於2015年 作者:大王連結:https://www.zhihu.com/question/19581905/answer/508247025
來源:知乎
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。
DDoS攻擊通過大量合法的請求佔用大量網路資源,以達到癱瘓網路的目的。 這種攻擊方式可分為以下幾種:
1.通過使網路過載來干擾甚至阻斷正常的網路通訊; 2.通過向伺服器提交大量請求,使伺服器超負荷; 3.阻斷某一使用者訪問伺服器; 4.阻斷某服務與特定系統或個人的通訊。
CC攻擊可以歸為DDoS攻擊的一種。他們之間的原理都是一樣的,即傳送大量的請求資料來導致伺服器拒絕服務,是一種連線攻擊。CC攻擊又可分為代理CC攻擊,和肉雞CC攻擊。代理CC攻擊是黑客藉助代理伺服器生成指向受害主機的合法網頁請求,實現DDoS,和偽裝就叫:cc(Challenge Collapsar)。而肉雞CC攻擊是黑客使用CC攻擊軟體,控制大量肉雞,發動攻擊,相比來後者比前者更難防禦。因為肉雞可以模擬正常使用者訪問網站的請求。偽造成合法資料包。
解決方案:
1.採用多節點分佈,解決各地區不同網路使用者的訪問速度 ,解決併發量減輕源伺服器壓力。
2.隱藏源站IP,確保網站不會受到攻擊
3.防禦cc,ddos,確保網站穩定性
4.諮詢量、客戶量、成單量能得到大幅度提升
使用方式:需要提供源站IP和域名,把域名解析到自動生成的記錄值上即可。
當網站沒有攻擊時走的是加速節點,受到攻擊時自動切換到高防節點
其他CDN防禦是叢集防禦,單節點防禦不高,使網站很容易受到攻擊的影響,我們的CDN卻是單個節點都有套餐防禦的對應防禦,除非是攻擊超過套餐防禦,不然網站不會受到影響。
CDN系統基於使用者實際訪問的IP地址判斷使用者位置,直接將使用者訪問指向響應速度最快的站點。整個系統管理簡單,使用者可通過GUI確定有哪些內容需要做分散式分發,系統會自動完成內容的複製、更新及資料庫同步的全過程。並且,系統具有自診斷、負載均衡的能力,任何環節發生故障,不會影響整個系統的可訪問性
發表於2018年10月
總的是依靠CDN解決