1. 聚能聊>
  2. 话题详情

602 Gbps!攻击记录不断刷新,DDoS真的无解吗?

DDoS(DistributedDenialofService,分布式拒绝服务)主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御的攻击之一。

ddos123_jpeg
 
 
2014年12月20日~21日,阿里云抵御了当时全球互联网史上最大的一次DDoS攻击,攻击时间长达14个小时,攻击峰值流量达到每秒453.8Gb。

2016年1月,DDoS攻击流量峰值记录被刷新,黑客组织New World Hacking针对BBC网站发起大规模DDoS攻击,流量高达 602 Gbps。

2016年10月21日,美国最主要的DNS服务提供商Dyn遭到了大规模的DDoS攻击,这导致了包括Twitter、Linkedln、eBay等上百家网站无法访问,可以说是史上最严重的一次DDoS攻击了。
 
那么此次与大家一起聊聊DDoS防御的那些事儿

* 你的应用或网站是否遭遇DDoS攻击,是否防住?如何防?
* DDoS未来会如何发展?未来还会出现什么样的DDoS攻击?
* 互联网初创企业为何也会遭遇DDoS攻击?应该如何应对?
* DDoS攻击是无解的吗?DDoS有什么好的方法来防御?
 
 
欢迎大家一起来交流!

【推荐课程】让你快速了解DDoS攻防原理:https://yq.aliyun.com/promotion/173

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    淘公仔U盘 x 1

  • 奖品二

    优酷VIP月卡 x 2

  • 奖品三

    珍藏版棒球帽 x 2

99个回答

5

小柒2012 已获得淘公仔U盘 复制链接去分享

隐藏服务器真实IP 或者保证服务器系统的安全

总之,只要服务器的真实IP不泄露,10G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。保护站点抵御包括拒绝服务攻击,阿里云就提供高防IP,建议去看看!

不过对于 这种人 逮住 拉出去 必须枪毙半小时 。

聚小编 回复

最后一句话,非常同意!!如果攻击量、频次过高的话可以报警,网警可以帮忙纠查,处理。

小柒2012 回复

阿里云就提供高防IP,建议去看看! 这个是重点

聚小编 回复

是地,据说曾帮一家游戏厂商成功抵御了400多Gb的DDoS攻击。

元芳 回复

高防IP价格也很高。

小柒2012 回复
回复@元芳:

一般来说 遭受攻击的都是相对牛点的网站、默默无闻的肯定没人攻击。如果遭受攻击,权衡利弊的话 高防 贵 也得上啊~~

like.club 回复

以前公司一打就全挂,整个机房不稳定。什么网站被打,全是私服

aguangcn 回复

曾买过一次高防IP,没用,换了三次iP还是被攻击,后来自己想到了一个解决方案,使用负载均衡转发访问,进入黑洞再换一个转发IP。这样虽然麻烦点,至少不会让服务器一进入黑洞就几个小时不出来要好。

目欢 回复

阿里云的cdn可以隐匿ip,但是还是被人cc攻击

云安全北叶 回复

隐藏被保护的IP是非常有效的一种方式,但是对前端的防护有很大的考验,带宽,调度,防护算法,好问题

linu_wei 回复
回复@aguangcn:

我也是用的这种方法,三个IP轮转,前面还有CDN

理工小强 回复

CC 公里肯定没办法的

o_o_o 回复

遭受过一次不算很大的攻击,百兆每秒级,但是把我小小的带宽占满了,根据IP找到流量最大的两个肉鸡的加拿大机房和香港机房,把IP和攻击情况用蹩脚的英语通过邮件发给机房客服,总算把攻击停了下来。

小柒2012 回复
回复@o_o_o:

哈哈哈 蹩脚的加拿大英语吧

评论
2

arobot007 已获得优酷VIP月卡 复制链接去分享

如果你是一个小网站管理员,如果攻击方手中有上万台肉鸡,瞬间把你带宽打满,而你如果准备不足的话,什么都做不了,那就等待攻击结束吧,这种情况基本无解。因此,攻击者会将矛头指向一些创业公司,通过DDoS进行勒索。DDoS背后的利益是非常巨大的,因此DDoS攻击会如此频繁。

魔高一尺,道高一丈,也有一些抵御方法,比如拼带宽,也就是拼人民币,进行流量清洗,封IP,使用CDN等,但是抵御成本也会非常高。对于中小企业而言,还是使用一些DDoS高防产品稳妥一些。

聚小编 回复

中小企业来讲,长期买高防成本过高。可以考虑推广期或是某些流量增长期,阶段性使用高防服务。

holaglobal 回复

没钱==

云安全北叶 回复

DDoS清洗服务目前来讲是一个高投入的产业,一般小的企业没有资源,安全能力来建设自己的清洗服务,云清洗服务就是为这些企业服务的,消费成本随着发展未来也会越来越低

评论
1

keller.zhou 已获得珍藏版棒球帽 复制链接去分享

DDOS攻击,这个攻击的方式很多,总共有7种
Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
2Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
  3.Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
  4.Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
  5.Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
  6.PingSweep:使用ICMP Echo轮询多个主机。
  7.Pingflood: 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。

在虚拟化时代,海量用户的不同业务共处在相同的物理机平台,遭受DDoS攻击的可能性越来越高。而且一个用户被攻击可能牵扯到大量的其他用户,危害被显著放大,因此防御显得尤为重要。不过阿里云的虚拟化云计算业务还算很厉害了

总地来说,对DDoS防御,主要的工作是幕后积累。台上十分钟,台下十年功,没有充分的资源准备,没有足够的应急演练,没有丰富的处理经验,DDoS攻击将是所有人的噩梦。希望大家防范的时候最好是清楚各个攻击的点是什么,然后对症下药。帽子好好看🎁

云安全北叶 回复

看起来做了很多学习,DDoS不仅仅是攻防技术,更是流量工程,

hacker39 回复

udp呢?e,e,还有DK假人模式

评论
2

爵霸 已获得优酷VIP月卡 复制链接去分享

随着DDOS攻击在互联网上的肆虐泛滥,使得DDOS的防范工作变得更加困难。
那么,广大的网站用户应该采取怎样的措施进行有效的防御呢?下面我就介绍一下防御DDoS的基本方法。
  1、隐藏服务器真实IP
  服务器前端加CDN中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
  另外,防止服务器对外传送信息泄漏IP,最常见的是,服务器不使用发送邮件功能,如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP。
  2、保证服务器系统的安全
  首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
  3、定期备份数据
  用磁带来保存珍贵的数据,但是数据备份也存在巨大的安全漏洞,所以在备份时也应该对备份介质进行有效地保护。
  4、加强服务器本地文件格式安全级别

    推荐使用阿里云
1

云栖技术 已获得珍藏版棒球帽 复制链接去分享

我感觉真正这样花费精力去分析的攻击者其实不多见。不过大多攻击确实会避开一些明显抗攻击能力不错的点,比如很多网站的首页会做静态化,所以攻击首页就不划算。图片同理,对CPU消耗太小了。几个常见的弱点:1、登录认证2、评论3、用户动态4、ajax api总之涉嫌写数据库,联表查询,缓存涧出的都是好目标。所以:没有啥好办法,耐心等待吧。

解决方案:1、拼带宽:或者说拼软妹币,这不是一点点钱能搞定的,果壳网彼时只买了不足100M带宽,所在早期机房总带宽也不足40G,攻击带宽都没见过低于10G的(机房的人后来告诉我的)。假设某便宜机房(肯定不在北上广深),带宽价格为100元/M*月,每月按峰值计费。则要买10G带宽顶一下,需要的月费是100万,100万……
2、流量清洗&封IP:如前述,要这么做的前提是攻击包至少要到你的机房。而机房自保的措施导致了数据包根本到不了机房,无解
3、CDN服务:使用阿里云的CDN服务。
如果想省事,就去阿里云吧,有解决方案。省心省力不省钱

2

1440564577398195 复制链接去分享

dnspod+cdn+slb+ecs+rds完美防御

vonbx 回复

。。。为什么dnspod,云解析挺好用的

pijioupp 回复

我的小站,ecs+cdn就够了。。。。今天还被d了一次,两个小时

宝宝斗地主 回复

经历过几次攻击,基本带宽扛,没什么完美不完美的

评论
2

w603928848 复制链接去分享

学生党表示学生机服务器升级到2核4g 100m按照流量算费,晚上网站打开几十秒,早上几秒,后悔升级配置,原来是带宽问题,然而不让改成固定带宽,有点绝望,花了几千还是这样,基本是要了一个学生创业的命。

youcan666 回复

节哀,希望阿里能够帮你解决掉。。。

w603928848 回复

::>_<::心好累。

玖伍陈海天 回复

你可以从新开个机器

评论
2

第七科 复制链接去分享

SYN三次握手建立不全使得DOOS实现,可以在其设置时效来缓解,启动防火墙拦截和地域防护,CDN等防护措施可以启用。当然也可以通过抓取攻击记录进行流量的清洗,这种就比较难了,需要技术去做。基本防御没问题,如果要技术没技术要钱没钱,那最好还是把站点关闭,特别是小站点。

聚小编 回复

只能关站....介个,难道小站就只能认人宰割么....

不行 回复

不行

评论
3

似水的流年 复制链接去分享

  DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务

 DDoS究竟如何攻击?目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击,SYN-Flood也就是SYN洪水攻击。SYN-Flood不会完成TCP三次握手的第三步,也就是不发送确认连接的信息给服务器。这样,服务器无法完成第三次握手,但服务器不会立即放弃,服务器会不停的重试并等待一定的时间后放弃这个未完成的连接,这段时间叫做SYN timeout,这段时间大约30秒-2分钟左右。若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟并不是什么大不了的问题,但是若有人用特殊的软件大量模拟这种情况,那后果就可想而知了。一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽,这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小)。这样这个服务器就无法工作了,这种攻击就叫做:SYN-Flood攻击。

  到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击,我们可以尽力来减少DDoS的攻击。下面就是一些防御方法:
  1。确保服务器的系统文件是最新的版本,并及时更新系统补丁。
  2。关闭不必要的服务。
  3。限制同时打开的SYN半连接数目。
  4。缩短SYN半连接的time out 时间。
  5。正确设置防火墙
  禁止对主机的非开放服务的访问
  限制特定IP地址的访问
  启用防火墙的防DDoS的属性
  严格限制对外开放的服务器的向外访问
  运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
  6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。
  7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。
  8。路由器
  以Cisco路由器为例
  Cisco Express Forwarding(CEF)
  使用 unicast reverse-path
  访问控制列表(ACL)过滤
  设置SYN数据包流量速率
  升级版本过低的ISO
  为路由器建立log server
  能够了解DDoS攻击的原理,对我们防御的措施在加以改进,我们就可以挡住一部分的DDoS攻击。好喜欢帽子

3

luneice 复制链接去分享

如果请求量没有达到安全阈值,不启用防御机制,请求量达到了安全阈值就应该像12306的验证码那样,多可疑的IP地址进行人机验证。短时间多次验证失败的话加入黑名单,让它过一会再访问。

不过道高一尺魔高一丈,新技术的革命势在必行,人工智能也可以用来防御DDOS攻击的,我相信它会很可靠。

2

我的中国 复制链接去分享

大网站都有吧,小网站都是因为带宽不足造成。有钱的升级设备带宽,没有的就限制地区 连接数量,个数,以及在出现DOOS情况可以设置验证码,错误的就断开一定的时间,以此缓解。

聚小编 回复

不错,小网站往往因为成本问题,遇到DDoS就傻眼了。这几招不错,中小站长可以参考了!

评论
1

火蓝云 复制链接去分享

互联网是开放的,自然有人基于某种利益开始攻击
有效防御手段肯定是耗费资金喽~
咱入门 觉得 弄个cdn 以及负载 其实应该就差不多了(隐藏了真实IP)

聚小编 回复

隐藏IP是个招儿~受教了!

评论
1

沉默的猪 复制链接去分享

1.购买IDS设备锁定攻击源,防火墙压力大可以上联交换机配置ACL限制源IP.
2.请求接入运营商配置路由黑洞,见效快。
3.购买接入运营商流量清洗服务,多大流量都不怕!

1

小马哥来了 复制链接去分享

对阿里云高防别无他求, 只求推出能够封锁udp 和封锁国外的业务(付费也行啊)
很多业务用不到udp, 而udp的ddos又是最烦人的一个,来不来就是几百g
我都怀疑阿里高防不推这个就是为了上量好收钱O(∩_∩)O哈哈~

1

bj9886 复制链接去分享

这种攻击方式,最草蛋

bj9886 回复

牛了

评论
0

zhu.akira 复制链接去分享

这个主要是防御和攻击成本不对等 攻击20g流量就几十块钱钱的事情 防御要20g买阿里云的服务可就不是几十是几万了 而且是每个月 这让一般客户怎么防御

1

bearyes 复制链接去分享

1)DDOS发生前可能永远都无法预知,因此,应急方案一定要有。
2)DDOS发生后可能短时间无法完全防御,因此要有保证最小服务的生存的意思。
3)DDOS攻击源可能很难定位,甚至无计可施,但是最接近你的一级的入口流量,你完全可以控制。
首先求自己,然后求别人。
4)商场似战场,但是不是战场,在灾难最重要的是对你用户负起责任。

0

提问者: 复制链接去分享

看谁在用Ddos攻击,拿把菜刀过去问,以后还攻击不?直接有效

小生我不怕 回复

😒你找得到吗,几万台肉鸡。

评论
1

北方的郎 复制链接去分享

肉鸡多的话,小网站基本无解。阿里的DDOS高防似乎是一个不错的方案。感觉关键还是各种特征值的快速识别

1

爱的延续 复制链接去分享

其实只要省网封了ip段upd协议、指定段ip不支持udp,这样基本不存在几百G攻击了、国际带宽在国际出口指定ip段禁止udp协议,那么不需要udp协议用户就不会遭遇udp 放大流量攻击、单纯syn攻击上天300g不得了了,udp可以放大 不封udp的高防就是假高防,境外10台1g带宽机器轻松打几百G udp流量

5