遇到 DDoS 怎么辦?老司機教你如何解決被攻擊問題

經常有一些網站在各家公有云廠商上遭遇DDoS(分布式拒絕服務攻擊)后被公有云限制服務的無奈現狀。我怎么說也混跡多年的老站長,對于DDoS攻擊是非常了解的,幫助過不少網站做過安全防御,基本都是可以滿意解決,所以今天我們來為大家講解下遇到遇到 DDoS 怎么辦?

1、誤解

先講一個普遍的誤解。近年來DDoS攻擊越來越頻繁,攻擊流量越來越大,有很多人誤以為是因為黑客掌握了越來越多的帶寬資源可以發動越來越猛烈的攻擊。實際上黑客掌握的攻擊流量未必上升了,更可能的是越來越多的黑客掌握了反射式DDoS攻擊的能力。

反射式的攻擊形式可以這么理解:

有黑客偽裝成你的樣子,朝黑猩猩扔了一塊石頭,黑猩猩扭頭一看,好哇你敢扔我石頭,我砸死你,從地上檢了十幾塊磚頭都吵你丟過來。

丟一塊石頭給黑猩猩它會丟回來多少塊石頭呢?這里有個表。

(圖片來自此文,也推薦感興趣的讀者閱讀)

比如2015年8月25號,賣桃君還在錘子的時候,錘子有一次發布會遭遇了DDos攻擊,攻擊形式其實就是表中放大倍數最大的NTP反射式攻擊。

但是根據2016年黑帽大會展示的新研究,攻擊者正在改變DDoS DNS放大攻擊戰略 ,放棄NTP而采用其他形式,尤其是SSDP,原因可能是大量被利用的NTP服務器都做了修復,難以被利用了。

也就是說,看起來你遭遇了幾十上百G的DDoS攻擊流量,十有八九攻擊你的黑客其實只使用了幾個G的流量。

2、反射式攻擊的局限性

從上面的介紹中我們可以看到,黑客如果要對你發起非常大流量的DDoS攻擊,就不得不依賴哪些能夠實施反射式攻擊的協議。好消息是,這些協議中并不包含我們最常用的HTTP這樣的網絡服務協議。

因為采用了這些協議,黑客也就無法對一個“域名”去發起大流量的反射式攻擊,而只能對一個具體的IP地址去發起攻擊。

3、對抗

對抗這樣的攻擊形式,最重要的一點就是:

服務器的真實IP不要暴露出去,甚至于負載均衡的IP也不要暴露出去

沒事不要留一個靶子在外面給黑客沒事打著玩,把源服務器IP暴露出來就等于是家里平時不關門,小偷想進就進想出就出。

那怎么把自己的服務器甚至于負載均衡的ip藏起來不讓黑客知道,又能夠繼續提供服務呢?主機吧認為最有效的對抗套路就是:

使用高防IP或者高防CDN

高防IP是指網站業務通過高防IP轉發內容,達到隱藏源服務器IP的目的,而高防IP本身具體超強的防護能力,可以起到替身防御的作用。

高防CDN則是由多個高防IP節點組成的,集成加速、防御的節點集群,具體隱藏源服務器IP的作用,而黑客不知道源服務器IP只能打CDN節點,而CDN具體多個節點組成,想要徹底癱瘓業務就需要對所有節點進行打擊,這樣無形中增加了攻擊成本,這也是目前防御DDoS攻擊最有效的方法。

4、代價

高防IP由于其防御業務的全面性,價格是相當昂貴的,以阿里云高防IP為例,保底20G峰值的高防IP價格就達到2萬+人民幣,而高防CDN價格也貴,保底10G峰值的高防CDN,價格3000元/月,這還只是防御成本,外加CDN流量成本價格更高。當然,阿里云的防護成本一直都是業界最高的,我們可以選一些性價比高的,比如百度云加速CDN,最便宜的套餐專業版代理價1180元/年,可以防御峰值10G,正常流量每天100G,而最高套餐30G,年付1.2萬。這樣一看百度云加速的價格是非常香的,有需要的可以聯系主機吧購買。

5、局限性

無論是CDN還是高防IP,防御的手段都是通過隱藏了服務器真實IP,能夠使針對IP的DDoS攻擊手段失去了攻擊的靶子,不但包括了上面提到的反射式攻擊手段,也包括更多傳統的針對IP的攻擊手段。而一但之前已經暴露了的IP是沒辦法防御的,這個時候我們只能更換服務器IP了。另外針對于一些非網站業務,高防CDN是沒辦法防御的,因為高防CDN是通過域名防御的,而對于一些以IP為訪問端的則需要用到高防IP。

6、安全的本質

很多人認為安全就是“無懈可擊”,總是試圖追求最高級別的安全。如果是非常大的機構,極其注重安全的產品,按照這個思路去做安全并不是不可以,比如直接采購專業的安全產品。

但是在我看來,這是一個“保衛者視角”看待問題的方式。沒有嘗試從攻擊者的視角去完整的看待攻防的雙方。攻擊者的很多信息其實我們現在是有所了解的,他們的很多軟肋我們也知道,所以無條件的死守有時不一定是最高效的。

在我看來,安全的實質就是降低保護者的成本,提升攻擊者的成本,讓攻擊變得更加困難、更貴,讓攻擊獲益更低,直到跨越某一個平衡點,攻擊的成本高于攻擊能獲得收益。比如說,我們把原本非常便宜的反射式DDoS攻擊、同步洪水攻擊的門檻抬高到貴了幾十倍的非反射式的DDoS攻擊、CC攻擊。如果你只是一個小網站,黑客花那么高的成本來攻擊你真的值得嗎?

畢竟,殺頭的生意有人做,賠本的生意沒人做。

人已贊賞
好經驗

景安虛擬主機如何導入數據庫

2019-11-29 10:49:53

好經驗

什么是DDoS攻擊?被DDoS攻擊的表現和常見攻擊手段

2019-12-2 7:54:23

0 條回復 A文章作者 M管理員
    暫無討論,說說你的看法吧
個人中心
購物車
優惠劵
今日簽到
有新私信 私信列表
有新消息 消息中心
搜索
2019年开奖记录,手机版