V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lidongyo
V2EX  ›  信息安全

您采取了哪些技术措施来最小化 DDOS 攻击的可能性?

  •  
  •   lidongyo · 2020-09-22 15:40:51 +08:00 · 5222 次点击
    这是一个创建于 1557 天前的主题,其中的信息可能已经有所发展或是发生改变。

    来自甲方的问卷~

    请问各位 v 神,这个该如何回答…… 使用 CDN 隐藏真实 IP 吗~

    28 条回复    2020-09-25 14:01:27 +08:00
    xyijmn
        1
    xyijmn  
       2020-09-22 16:01:11 +08:00
    难道不是上高防服务器吗
    qq292382270
        2
    qq292382270  
       2020-09-22 16:02:23 +08:00
    高防服务器 反向代理 高防 ip cdn
    zhenjiangidc
        3
    zhenjiangidc  
       2020-09-22 16:03:17 +08:00
    做了 7 年的 IDC,这么说吧没有哪家机房能保证抗住 DDOS 攻击,, 别人想搞你, 有各种办法,不一定 DDOS 攻击呀,,
    问一下你相同 IP 段机房的服务器, 开一台, 内网爆破一下, 要啥 ,啥都有了,,


    V 15052937502 q 2055578652
    CallMeReznov
        4
    CallMeReznov  
       2020-09-22 16:15:24 +08:00   ❤️ 3
    我原来做游戏运维的时候,服务器是单体架构的,直面所有流量,接到就死。
    为了应对攻击这个做了以下的操作
    有钱先上高防,让专业的团队和设备帮你洗一遍流量,和攻击者比成本,你花 1000 买流量,我花 1W 上高防也不能给你 1 毛钱。
    动态发包模拟业务登录的就动态防火墙黑名单。
    在游戏登陆器里加入 knockport 程序,操作某个步骤后才允许客户端 IP 连接服务器端口。
    游戏端的问题解决了他们就开始撞库,游戏主页的登录接口一直有各种垃圾请求。
    就算用 nginx 过滤还是免不了有流量过来,所以我直接用暴力的方式排序,1 分钟内重复请求接口超过一定次数就直接黑名单。


    以上操作搞定以后。数据库炸了,多次向老板提意见,和开发沟通也不解决,心累离职。



    如果是网页的话就 CDN,根据日志过滤动态添加防火墙黑名单。
    我收藏的几个
    http://qiaomiao.blog.51cto.com/484197/1839337
    https://www.yunloc.com/167.html


    现在做的工作接触不到定向的恶意攻击(也不敢),所以当咸鱼好久了。。
    singerll
        5
    singerll  
       2020-09-22 16:15:28 +08:00 via Android   ❤️ 2
    断网
    opengps
        6
    opengps  
       2020-09-22 16:23:30 +08:00
    ddos 防御的本质其实是硬抗,首先你骨干带宽足够大,真假访问都抗住(所以不存在打不死的机房),然后才能有机会清洗,然后清洗后的流量到达服务器(必然存在误杀的链接)
    cdn 隐藏真实 ip 是很基础的防御办法
    动态更换 ip,更换域名,让攻击中的一部分失效,也是个敌我都损失的应急方案
    northlov
        7
    northlov  
       2020-09-22 17:21:33 +08:00
    web 相关的话,有钱就上一些商业防火墙,比如阿里云、腾讯云的 WAF,在 IP 层就会过滤掉一些,毕竟他们自己有大数据分析 IP 能力等等。还有没过滤的基本就是硬抗了吧 吃掉 DDOS 的带宽,服务器、带宽等动态扩充方案。把 12306 抢票的用户想成 DDOS 肉鸡,一个道理 哈哈哈哈哈。。。。
    wafm
        8
    wafm  
       2020-09-22 17:36:06 +08:00
    其实隐藏真实 IP 就是最有效的,前端打死了就切换,跟现在的大多数游戏高防盾一个道理。
    chiuan
        9
    chiuan  
       2020-09-22 17:38:29 +08:00
    @CallMeReznov 是不是发现你折腾了一通。。。。没啥用
    westoy
        10
    westoy  
       2020-09-22 17:41:21 +08:00
    夹紧尾巴做站

    不去任何和技术 /黑客 /空间域名 /网赚的社区露站

    也不和上述网站发生交叉链接

    不仅能防攻击还能防采集
    mxT52CRuqR6o5
        11
    mxT52CRuqR6o5  
       2020-09-22 17:47:46 +08:00 via Android
    感觉藏得住 ip 是最有效的方法
    importPandora
        12
    importPandora  
       2020-09-22 17:50:33 +08:00 via Android
    关机
    CallMeReznov
        13
    CallMeReznov  
       2020-09-22 17:51:14 +08:00
    @chiuan #9 有效果啊,但是用鲁迅先生的一句话“治病救不了中国人” 。
    整那么多业务承载不了快速的发展,老板都不吱声我咋办呢。
    djoiwhud
        14
    djoiwhud  
       2020-09-22 18:05:36 +08:00
    1 、高防,比较贵。但是稳定性并不高,流量清洗策略难免干掉一些正常的用户。
    2 、多线分流,比较便宜。如果 IP 池很多,理论上是打不死的。
    3 、正常的时候分流,遇攻击全站高防。

    有些做勒索的攻击者,会盯着比较脆弱的系统持续攻击,直到被攻击者交钱或者攻击者被抓。方案 3 是比较合理的。IP 池比较多的系统,可以找到攻击者的 IP 。

    多使用 CDN 。DDOS 攻击者一般看到 CDN 的地址会跳过,毕竟能做 CDN 的都是大厂,影响大厂的后果比较严重。
    iColdCat
        15
    iColdCat  
       2020-09-22 18:11:47 +08:00
    @singerll 真实有效
    apple998
        16
    apple998  
       2020-09-22 18:35:11 +08:00
    一般用了 cdn 的都不会搞你;成本比较大
    MakeItGreat
        17
    MakeItGreat  
       2020-09-22 19:25:06 +08:00 via Android
    @CallMeReznov 能说说不给钱的原因吗?是有教训吗?
    CallMeReznov
        18
    CallMeReznov  
       2020-09-22 20:03:02 +08:00
    @MakeItGreat #17 你说攻击?
    勒索你的人,看到你你软了第一次,肯定会有第二次,第三次的,你就成了提款机了.
    宁愿扛一次狠的,也不能让他们天天来捣乱.
    这次他们知道这骨头难啃下次就不会来找你了.
    xuanbg
        19
    xuanbg  
       2020-09-22 20:10:47 +08:00
    别想 P 吃了……对抗 DDOS 唯一有效的做法就是花钱清洗非法流量,包括但不限于购买高防 IP 、CDN 等等。
    dedemao
        20
    dedemao  
       2020-09-22 21:13:28 +08:00
    建议看看阮一峰大神的这篇博客: http://www.ruanyifeng.com/blog/2018/06/ddos.html,写的很全了。
    kangsheng9527
        21
    kangsheng9527  
       2020-09-22 21:32:21 +08:00
    @apple998 专干 cdn 用户,找我。。。100Gbps 下载量。。一小时就有大概 45TB 流量产出。。。小文件如*.css ,*.js 的效果比大文件更好。。。预付费
    godblessumilk
        22
    godblessumilk  
       2020-09-22 22:05:19 +08:00 via Android
    我觉得淘宝双十一可以参考参考,人肉 ddos
    scofieldpeng
        23
    scofieldpeng  
       2020-09-22 23:14:46 +08:00
    以前做自助建站系统,经常有一些用户是投百度竞价或者莆田系的,很多竞争对手之类的攻击,鉴于公司太穷(kou),想了各种日天的办法来防,分享一个低成本的吧,那会儿手上一堆屌丝阿里云机器,借助 dnspod 之类提供 dns 的 cname+阿里云的 api 和这帮人搞游击,打死一个,另外一个地方的机器又起来了,结果就是只会影响一小部分用户短时间内无法访问
    ZXCDFGTYU
        24
    ZXCDFGTYU  
       2020-09-22 23:40:42 +08:00
    之前做 IP 代理节点的时候,因为流量没有办法进高防系统,我们自己实现了一个简单的封禁消息下发订阅。每个服务器按照我们制定的规则在正常流量里面看那些是频繁错误登录的,或者是恶意攻击。我们获取到对应的客户端 ip 之后直接下发到 redis 里的 subscribe 里,其余节点订阅并更新自己的 ipset,结合 iptables 实现过滤。

    之后有问题的客户业务中断,自然会来找我们解封。恶意攻击的话,我们就是直接搞服务器车轮战,反正服务器一大堆,正常流量掺杂在里面客户那边也无感,客户那边自己就有重连机制,以及掉线后停止业务的操作,对我们和客户都不会有影响。
    apiiku
        25
    apiiku  
       2020-09-23 10:33:58 +08:00
    @CallMeReznov 老哥求个运维群号来学习下,感谢
    onice
        26
    onice  
       2020-09-23 11:11:48 +08:00
    只能上流量清洗。视业务重要程度和对抗成本,提前选好高防服务提供商,做好预案。当攻击流量来了,根据攻击规模,按照预案切换不同的方法方案。
    Kinnice
        27
    Kinnice  
       2020-09-23 14:08:54 +08:00
    纯静态 + Cloudflare
    CallMeReznov
        28
    CallMeReznov  
       2020-09-25 14:01:27 +08:00
    @apiiku #25 我现在在说话的只有一个 S1 的运维吹水群了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2649 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:48 · PVG 09:48 · LAX 17:48 · JFK 20:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.