【致歉】DDoS攻击造成网站不能访问

2011年11月11日21:00左右~11月12日00:15左右,由于网站遭受DDoS攻击而不能访问。由此给大家带来了麻烦,请大家谅解!

 

关于DDoS攻击(内容来源):

自从2000年DDoS首次被用于互联网攻击后,DDoS攻击事件每天都在发生,而且呈现出越演越烈的状态。而且手段也由最初的拒绝服务慢慢走向了流量攻击这条道路了。其实原因也很简单,随着计算机性能的提高,上网链接数同时到来也不会让系统处理不过来造成TCP栈溢出。简单的软件防火墙在cpu使用率大概是30%左右就能防住syn flood和ack flood,对于cc在程序上和系统上做一些设置后cc的攻击马上成为了摆设。

但是,当syn ack等flood的流量变大,上Gbps的流量对任何一个中小型网站都是毁灭性质的打击。这种情况就是大量的垃圾流量冲击服务器,导致正常的流量被丢。服务器很清闲,因为没有收到正常的服务请求,垃圾的流量在机房的硬防就被拦截下去了,剩下的一点流量在进入计算机后在tcp栈之前就被内核丢弃了。

该说说DDoS的种类了,DDoS按攻击的手法基本上分为2种,服务器超载攻击和流量攻击。服务器超载攻击,很简单就是使用一些手段让服务器超载,CPU 100%,或者所有端口都是wait,无法正常处理新来的请求。流量攻击呢,主要就是用大量的垃圾流量去堵塞服务器和Internet直接的接口。也就是说,用很多台傀儡机发送大量流量到你的服务器,这些流量什么都有,比如巨型udp包,ack,syn垃圾包等,这个流量超过了ISP给你的保证带宽,这样就会造成丢包。比如你租的带宽是100M,但是他们用了200m的流量去攻击你,正常的流量是10M。这样你瞬时的流量就是210m大大的超过 了100m这个ISP给你的硬限。开始的时候,因为流量整形,ISP会给你放入130M的流量,但是几秒后ISP只会给你放入100M的流量,这样在ISP处就有110Mb的流量被丢弃。这里先不考虑QoS算法,正常流量的丢弃概率是1-(10/210) 达到了95%。这样正常服务的接通率不到5%了。如果上G的流量呢?

大家可能要问不是天天都有广告说什么硬防,软件防火墙DDoS能抵御吗?

这些广告只是一个角头而已。硬防,软防其实都是用一种算法去计算那些包是垃圾流量,然后在把这些包给丢掉。硬防是硬件计算独立于主机的存在,软防要占用主机的CPU。但是现在问题就出来了,硬防,软防都需要流量经过他们后才能过滤,但是流量已经大于硬防或主机入口的带宽了,这时丢包已经产生了。正常数据包通过率不到5%了,你防火墙把这100M的垃圾流量过滤到2M的有用流量有用吗?答案是否定的。防火墙在入口带宽是无限大的时候是一个极品,但是在入口带 宽不是无限大的时候就成为了一个摆设。难道为了怕被DDoS上10G硬防,然后再去上个10G的宽带吗。这个10G宽带的成本不是一般人能承受的起的。

一般IDC商,好点的入口能到10G。但是一般的也就是单线1G,有3线。而虚拟主机上最多就是100M的带宽,再高的国内有多少个虚拟主机上去给你配呢?所以说,对于DDoS,空间商一般采取的办法就是让你的IP下线,在运行商的路由是上屏蔽掉你的IP,所有到你IP的数据包全部丢弃。没有任何的ISP商会在客户被严重DDoS的情况下继续给你提供服务的。他们会毫不犹豫的把汤中的那个老鼠屎给捞出来扔掉。

很多人说CDN或者加带宽能解决DDOS。其实这也是不对的。先说加带宽,除非你把你的带宽加的大于DDOS的流量,否则参照前面的。但是那么大的带宽很贵,而且DDoS执行者,也能很轻易的去加带宽。这么说吧,用ADSL的很多,搞DDoS的有3k台ADSL鸡不是难事,然后再有100多台服务器鸡,发动的带宽能达到至少3Gbps/s (ADSL上传一般被限制在512kbps左右)。加到3G的带宽不是很容易的,现在的价格怎么说1M也要1元一天呀,就算大客户打折3Gbps怎么要1k一天吧。一个月就多少钱了。

CDN解决DDoS其实等于是CDN帮着客户分担了一部分DDoS的压力,CDN是什么,baidu能查到一堆,通俗来说CDN等同于报刊亭,各地都有, 帮着杂志社买杂志。DDoS的人就是去买XXX杂志的(问价格去了),报刊亭分摊了所有买杂志的人,但是如果每个亭子前面都被买这一种杂志的人排满了呢? 买别的杂志的人就要排队了,这样DDOS就影响到了CDN其他用户。恐怕这时候报刊亭就该立牌子了,XXX杂志没了。不管有没有这个杂志了他们都会说没 了,因为这样太影响生意了。所有CDN在DDoS大流量攻击时,对客户的对策就是下线。

那么流量攻击这么恶心,有除了加宽带之外的方法吗?

当然是有的,流量攻击利用的是运营商和客户之间的带宽瓶颈,对于我们来说运营商自己路由直接的带宽是无限大的(相对于我们接入的来说)。在运营商的核心网 上安点硬防不就解决了?这事不可能的,运营商的核心网上没法安硬防,就算有计算能力也算不过来,核心网是什么类似北京的2345等环,只要是车就会出现在 上面。你在4环上根本看不出来车去什么地方。核心网上的流量太大,而且范围太广,无法进行计算。而且硬防是宁可错杀100也不要放进去一个坏人,这样在运营商核心网上架设这些就会出现很大的问题。所以不可能在核心网上放硬防。

但是这个思路是正确的,过滤是要在核心网上进行,但是如何去做呢?答案就是清洗设备,清洗设备解决了硬防对于大量流量无法计算和运营商核心网上带宽等于无穷的特点。但是需要下级的设备去支持,也就是下级报告被D的IP,然后所有去往这个IP的流量都会经过清洗设备。然后在流入客户的主机,这样不法的流量在核心网就被干掉了,客户的下行带宽也不会堵塞呢。不过这样做的难度很大, 因为清洗设备不是自己控制的,设备进入运营商的核心网的手续等很复杂。就造成了,实行难度大,成本高等特点。但是效果非常的显著,只要下游设备通知清洗设备开始清洗流量后,在1分钟内就会看到效果,其实是几十秒。 

posted @ 2011-11-12 01:21  博客园团队  阅读(5650)  评论(38编辑  收藏  举报