提要:大多数互联网公司的业务主要依赖在线服务,DDoS攻击作为最简单有效的攻击手段,经常被黑产作为攻击互联网在线服务的首选。本文以甲方的视角介绍下常见的抵御DDoS攻击的手段以及甲方经常遇到的一些问题,希望可以帮助到大家。
为何攻击我们网站
简单讲就是谁火灭谁,前年打P2P,去年打直播,DDoS攻击的背后多是恶性商业竞争,以不大的成本可以让竞争对手业务中断,造成巨大损失,性价比不可谓不高。
一般何时容易被攻击
理解了攻击动机后,其实很容易总结何时容易被攻击:
- 新产品发布,比如罗老师发布锤子那次
- 大型市场活动,比如电商的双十一和双十二
- 业务高峰期,比如直播和在线教育业务的晚上
DDoS攻击成本大吗
用安全圈的一句话,在国外打垮一个网站需要一顿自助餐的钱,在国内只需要一顿快餐的钱。随便在某及时通讯软件里面一搜:
攻击类型有哪些
DDoS攻击的类型非常多,但是从甲方角度讲,从结果来说就是两种:
- 流量型攻击,就是把你带宽打满,用户无法正常访问导致业务中断,衡量单位是G
- CC攻击,就是把你重要的接口服务打死,流量不一定很大,但是请求速率一般很大,比如登陆,下单,支付等,衡量单位是QPS
硬件防火墙和WAF可以抵御DDoS攻击吗
这是个开放性的问题,需要区分不同情况(这里的机房带宽指的是机房给你分配的带宽):
- 如果是流量型攻击,攻击流量小于机房出口带宽时,具备防DDoS攻击能力的硬件防火墙和WAF可以抵御;攻击流量高于机房出口带宽时,只能遗憾了。
- 如果是CC攻击,攻击流量小于机房出口带宽时,具备防CC能力的硬件防火墙和WAF可以抵御;攻击流量高于机房出口带宽时,只能遗憾了。
遗憾的事,相当一部分DDoS攻击轻松上几十G,用户购买的出口带宽上1G的都不多。可见,面对现实中的DDoS攻击时,本地的硬件防火墙和WAF作用有限。
常见的抗D手段有哪些?
从甲方角度讲,可以按照抗D设备/服务部署的位置分为:
- 自购带有抗D抗CC功能的硬件防火墙或者WAF
- 机房的流量清洗服务,比如高防机房
- 云安全厂商的云抗D服务(CDN厂商提供的流量清洗服务也算这种情况)
- 运营商(比如电信云堤)的流量清洗服务
近源清洗是啥原理
云抗D是啥原理
云抗D服务和CDN接入原理类似,使用的是所谓替身防护的技术。用户在DNS服务器上将需要保护的web服务的域名指向云抗D中心提供的高防IP或者CNAME域名,云抗D中心将访问该web服务的请求再转发给用户的业务服务器,相当于充当了一个nginx反向代理,针对该web服务的攻击会被云抗D中心清洗,正常的用户请求才会转发给用户的业务服务器。
使用云抗D黑客直接打IP咋办
问题也就来了,黑客如果直接攻击用户业务服务器的IP,就会绕过云抗D中心。为了防止这种情况出现,最简单的解决方案是,用户的业务服务器提供两个IP,IP1是平时使用的,对外暴露,IP2平时不使用,同时限制IP2仅允许云抗D中心的IP段访问,一旦切入云抗D中心后,联系机房拉黑IP1,同时启用IP2即可,通常IP1和IP2可以指向同一服务器或者负载均衡。
使用云抗D后如何获取客户端真实IP
这个和使用CDN情况类似,比较常见的解决方案是在http协议层携带客户端的IP,比如x-forwarded-for字段。
三线与BGP抗D的区别
在国内现实的问题跨网访问的巨大延时,为了解决这个问题,通常有两种简单办法,一个是申请联通电信移动三网的IP资源,一个是使用相对昂贵的BGP资源。对应的抗D云服务也提供了三线和BGP服务,本质上区别就是一个需要做分区解析,一个不用,价格上一般BGP高防会贵些,从跨网访问来看两者都不错。
常见的云抗D厂商有哪些
百度安全的ADS,阿里云的高防IP,腾讯的大禹,知道创宇的抗D保等,主流云厂商也有自己的抗D服务。
作者:兜哥带你学安全
来源:51CTO