2. 程式人生 > >網際網路創業公司如何防禦 DDoS 攻擊?採用CDN服務

網際網路創業公司如何防禦 DDoS 攻擊?採用CDN服務

阿新 發佈:2018-11-19
作者:gashero
連結:https://www.zhihu.com/question/19581905/answer/37397087
來源:知乎
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。

攻擊者是控制一個足夠大的分散式叢集來發起攻擊,各種雜七雜八的包,什麼都會有。根本不在乎你開的什麼服務,也沒那耐心分析你有什麼服務。比如哪怕你根本沒開UDP的任何服務,但他就是發一大堆UDP的包,把你頻寬佔滿。還有啥辦法。

十多年前的OS還沒法應付大量TCP併發連線,於是那個年代有個SYN flood攻擊,就是一大堆SYN包嘗試握手。現代也有,效果大不如前,但是仍然在大流量下可以阻塞受害者的通訊能力。

更現實的問題在於,機房的總頻寬有限。當你的伺服器IP段受到攻擊時,他會直接找上級接入商將發給你的包在主幹網上都丟掉。此時雖然知道自己正在被DDoS攻擊,但攻擊包根本就沒到機房,更別說伺服器,於是只能是守著伺服器,毫無流量,等待。

上級接入商大多是壟斷國企,根本沒耐心跟你做任何深層次合作,直接丟包是最簡單方便的方法。同時,即便此時攻擊者停止了攻擊,你也不知道。而想要上級接入商重新開啟給你的包轉發,動則就是個一天的流程。而一旦發現攻擊還沒完,就立刻又是丟包。

那幾年被攻擊時,也火燒火燎的找辦法。嘗試將網站部署到雲端計算平臺上,依靠對方提供的頻寬冗餘來頂。甚至可能只是拼短期頻寬的費用。當時國內的雲端計算提供商試了好幾家,最終都因為沒有足夠的頻寬應對攻擊而拒絕了我們。他們都是出於對果殼網的喜愛和免費幫忙的,能做到這一步也挺不容易了。

有人提到攻擊弱點,我感覺真正這樣花費精力去分析的攻擊者其實不多見。不過大多攻擊確實會避開一些明顯抗攻擊能力不錯的點,比如很多網站的首頁會做靜態化,所以攻擊首頁就不划算。圖片同理,對CPU消耗太小了。

幾個常見的弱點:

1、登入認證
2、評論
3、使用者動態
4、ajax api

總之涉嫌寫資料庫,聯表查詢,快取澗出的都是好目標。

所以,回答就是:沒有啥好辦法,耐心等待吧。

看了其他幾個回答提供的方案,分別分析一下:

1、拼頻寬:或者說拼軟妹幣,這不是一點點錢能搞定的,果殼網彼時只買了不足100M頻寬,所在早期機房總頻寬也不足40G,攻擊頻寬都沒見過低於10G的(機房的人後來告訴我的)。假設某便宜機房(肯定不在北上廣深),頻寬價格為100元/M*月,每月按峰值計費。則要買10G頻寬頂一下,需要的月費是100萬,100萬……

2、流量清洗&封IP:如前述,要這麼做的前提是攻擊包至少要到你的機房。而機房自保的措施導致了資料包根本到不了機房,無解

3、CDN服務:現代CDN提供商還沒有完善的動態網頁加速技術,所以結果就是,你充其量利用CDN保住靜態化的主頁可以訪問,其他任何動態網站功能就只能呵呵了。 發表於2015年         作者:大王
連結:https://www.zhihu.com/question/19581905/answer/508247025
來源:知乎
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。

DDoS攻擊通過大量合法的請求佔用大量網路資源,以達到癱瘓網路的目的。 這種攻擊方式可分為以下幾種:

1.通過使網路過載來干擾甚至阻斷正常的網路通訊; 2.通過向伺服器提交大量請求,使伺服器超負荷; 3.阻斷某一使用者訪問伺服器; 4.阻斷某服務與特定系統或個人的通訊。

CC攻擊可以歸為DDoS攻擊的一種。他們之間的原理都是一樣的,即傳送大量的請求資料來導致伺服器拒絕服務,是一種連線攻擊。CC攻擊又可分為代理CC攻擊,和肉雞CC攻擊。代理CC攻擊是黑客藉助代理伺服器生成指向受害主機的合法網頁請求,實現DDoS,和偽裝就叫:cc(Challenge Collapsar)。而肉雞CC攻擊是黑客使用CC攻擊軟體,控制大量肉雞,發動攻擊,相比來後者比前者更難防禦。因為肉雞可以模擬正常使用者訪問網站的請求。偽造成合法資料包。

解決方案:

1.採用多節點分佈,解決各地區不同網路使用者的訪問速度 ,解決併發量減輕源伺服器壓力。

2.隱藏源站IP,確保網站不會受到攻擊

3.防禦cc,ddos,確保網站穩定性

4.諮詢量、客戶量、成單量能得到大幅度提升

使用方式:需要提供源站IP和域名,把域名解析到自動生成的記錄值上即可。

當網站沒有攻擊時走的是加速節點,受到攻擊時自動切換到高防節點

其他CDN防禦是叢集防禦,單節點防禦不高,使網站很容易受到攻擊的影響,我們的CDN卻是單個節點都有套餐防禦的對應防禦,除非是攻擊超過套餐防禦,不然網站不會受到影響。

CDN系統基於使用者實際訪問的IP地址判斷使用者位置,直接將使用者訪問指向響應速度最快的站點。整個系統管理簡單,使用者可通過GUI確定有哪些內容需要做分散式分發,系統會自動完成內容的複製、更新及資料庫同步的全過程。並且,系統具有自診斷、負載均衡的能力,任何環節發生故障,不會影響整個系統的可訪問性

發表於2018年10月

 

總的是依靠CDN解決

相關推薦

網際網路創業公司如何防禦 DDoS 攻擊採用CDN服務

作者:gashero 連結:https://www.zhihu.com/question/19581905/answer/37397087 來源:知乎 著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。 攻擊者是控制一個足夠大的分散式叢集來發起攻擊,各種雜七雜八

惠州/衡陽機房 無視CC、防禦DDOS攻擊

服務器惠州/衡陽新上線無視CC攻擊服務器獨立主機高配置,G口帶寬無限制,專業CC策略防護,可防千萬肉雞,真正的無視CC攻擊,掛站首選單機防護40G-320G,可防高流量DDOS攻擊惠州IP段:183.2.242.X/183.2.243.X/183.2.247.X/183.2.225.X/183.2.236.X

從分析攻擊方式來談如何防禦DDoS攻擊

DDoS攻擊 DDoS防禦 DDoS攻擊的定義:DDoS攻擊全稱——分布式拒絕服務攻擊,是網絡攻擊中非常常見的攻擊方式。在進行攻擊的時候,這種方式可以對不同地點的大量計算機進行攻擊,進行攻擊的時候主要是對攻擊的目標發送超過其處理能力的數據包,使攻擊目標出現癱瘓的情況,不能提供正常的服務。 DDoS攻擊

使用XDP eXpress Data Path 防禦DDoS攻擊

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

網際網路創業公司工作五年是一種怎樣的體驗?

——在網際網路創業公司工作五年是一種怎樣的體驗? ——微信有上千個前同事,相簿裡滿是他們的表情包,每個人的黑歷史一清二楚。 經歷的比在大公司工作十年的還要多:一人身兼多職的忙碌通宵工作,和同事的創業革命情誼,見證公司的榮耀時刻,也經歷過動盪黑暗時分,遭受過boss的更替和被大公司收購的前途未

防禦DDoS攻擊的六大絕招

分散式拒絕服務攻擊(DDoS)是一種特殊形式的拒絕服務攻擊。它是利用多臺已經被攻擊者所控制的機器對某一臺單機發起攻擊,在頻寬相對的情況下,被攻擊的主機很容易失去反應能力。作為一種分佈、協作的大規模攻擊方式,分散式拒絕服務攻擊(DDoS)主要瞄準比較大的站點,像商業公司,搜尋引擎和政府部門的站

談談網際網路創業公司裡技術、產品、運營的價值

現在是一個萬眾創業的時代,很多拿到天使輪的網際網路公司,一開始就把組建團隊看為重中之重。恨不得組建一個超級豪華的創業團隊,技術來自於百度,產品來自於騰訊,運營來自於阿里。 我就想說一句,這樣真的好嗎,組建團隊順序等有沒有有什麼邏輯風險? 先從創業公司技術的價值談起

如何去防禦DDOS攻擊

DDoS攻擊的主要目標是使目標系統對其使用者不可用。為此,黑客傳送大量虛擬請求,使伺服器無法處理它們,結果導致系統崩潰。當處理請求的Web伺服器被大量請求淹沒並停止執行時。發生這種情況時,嘗試訪問網站的使用者會看到錯誤提示而不是預期的頁面。 為產生DDoS惡意流量,在大多數情況下使用大量受惡

Linux下防禦DDOS攻擊的操作梳理

DDOS的全稱是Distributed Denial of Service,即"分散式拒絕服務攻擊",是指擊者利用大量“肉雞”對攻擊目標發動大量的正常或非正常請求、耗盡目標主機資源或網路資源,從而使被攻擊的主機不能為合法使用者提供服務。 DDOS攻擊的本質是: 利用木桶原理,尋找利用系統應用的瓶頸;阻塞和耗

程式設計師在網際網路創業公司工作五年是一種怎樣的體驗?

網際網路創業公司基於Gitlab/Jenkins的專案版本管理方案

網際網路創業公司基於Gitlab/Jenkins的專案版本管理方案 關於Gitlab 關於Jenkins 關於創業公司侷限性 Git管理方案 六大分支介紹 master develop relea

如何防禦DDOS攻擊

一、DDos簡介 DDoS(Distributed DenialofService,分散式拒絕服務)攻擊的主要目的是讓指定目標無法提供正常服務,甚至從網際網路上消失,是目前最強大、最難防禦的攻擊之一。這是一個世界級的難題並沒有解決辦法只能緩解. 按照發起的方式,DDoS可以

贛州傳奇高防服務防禦DDOS無視CC優質服務

服務器NASA高管托馬斯?紮巴亨(Thomas Zurbuchen)說,“之前的火星任務發現,火星上存在能支持微生物生命的古河床和合適的化學物質。對於理解火星支持生命的潛力方面,樣本將帶來關鍵的飛躍。”(編譯/霜葉)更多一手新聞,歡迎下載鳳凰新聞客戶端訂閱鳳凰網科技。想看深度報道,請微信搜索“iFeng科技”

景德鎮傳奇高防服務防禦DDOS無視CC優質服務

服務器聯發科昨日發布了2018年第一季度財報,營收為496億5千4百萬新臺幣(約合106.45億元人民幣),環比下滑17.8%。毛利率為38.4%,環比增長1個百分點。運營利潤為19億2千9百萬新臺幣(約合4.14億元人民幣),環比增長49.5%。凈利潤為26億6千萬新臺幣(約合5.70億元人民幣)。國內高防

新余傳奇高防服務防禦DDOS無視CC優質服務

服務器雖然並非易事,但科學家稱這一概念是可以實現的。 歐空局有人和無人探索部門主任大衛?帕克(David Parker)表示,“火星取樣返回任務是一個誘人但可以實現的願景,是進行太空探索的許多理由的交集。” 他說,“毋庸置疑,對於一名行星科學家來說,把從火星上采集的沒有受到汙染的樣本帶回地球,利用最好的設備進

面對頻繁的ddos攻擊,遊戲網站究竟該如何防禦

高防禦作為互聯網上黑客最為常用的攻擊手段,ddos攻擊一出現,傷害必定小不了,尤其近幾年,ddos攻擊成本愈加低廉,黑客索性變本加厲的攻擊,對於ddos攻擊重災區的遊戲行業來說,可謂是苦不堪言。 那麽為什麽遊戲行業易遭受ddos攻擊呢?主要有四點原因。一是因為遊戲行業生命周期短,很可能一款遊戲半年時間便消失在

DDoS攻擊給遊戲網站帶來災難性的破壞,如何防禦

遊戲網站眾所周知,遊戲是個暴利的行業,稍有點名氣就能賺個盆滿缽滿,但它的用戶基數大且分布廣泛,遍布全國各地,加大了線上運維難度,並成為影響遊戲增長的固有頑疾,而這些“先天缺陷”也成為其致命弱點:一旦遭受ddos沖擊,損失極其慘重。 調查發現2016年以來國內多家遊戲公司遭遇到了ddos攻擊,平局峰值在300G

域名做CDN來通過隱藏服務器真實IP的方法來防止DDoS攻擊(轉)

send 什麽 前端 內容 高防 解析 代理 信息 子域 隱藏服務器真實IP是解決問題最好和最快的方法,但只針對小流量,大流量同樣會扛不住。 服務器前端加CDN中轉,比如阿裏雲、百度雲加速、360網站衛士、加速樂、安全寶等,如果資金充裕的話,可以購買高防的盾機,用於隱

CentOS下防禦或減輕DDoS攻擊方法(轉)

style req lac 建立 pan 比較 端口 indicate 9.1 說明:還是老話題,不可能完全杜絕,只能減輕。 查看攻擊IP 首先使用以下代碼,找出攻擊者IP netstat -ntu | awk ‘{print $5}‘ | cut -d: -f1

CDNDDoS攻擊

功能 被黑 站點 -i 阻止 數據包 服務狀態 宋體 pan 隨著近年來來網絡技術的不斷進步,CDN已經不只簡單的用做網站加速,還能夠更好的保護網站不被攻擊。Cdn在相關節點中成功的建立動態加速機制以及智能沈於等機制,這種機制能夠幫助網站流量訪問分配到每一個節點中,智能的進