上周,安全狗SRC联合SRC部落,携手推出了爆款话题: 传统抗D设备 vs 新兴CDN抗D:抗D效果哪个好?
一经发布简直好评如潮,热评无数,四方雷动(?) 原帖在此,错过的吃瓜表哥们可以再围观一下~ https://bbs.ichunqiu.com/thread-21821-1-1.html
懒癌晚期的表哥如果不想一一浏览,小编特别汇总了一下诸位大佬的优质回复, 并且邀请了xiaoye大佬对下面的汇总做了一下独具匠心(?)的技术点评。 表哥们快来围观一下这些技术含量多汁到滴水的精彩发言,顺便提升一下对DDoS的整体认知吧!
账号153XXX39703的大佬,从安全狗用户的角度解读了ddos。这位大佬最近遇到了“通过千万台肉鸡同时对目标进行访问造成目标带宽瞬间跑满宕机,直接影响公司业务“的问题,并且总结了防御ddos的方式:
防DDOS无非以下几种办法: 1. 增加带宽硬抗 2. 接入第三方高防/流量清洗 3. 下线服务, 第一种增加带宽硬抗对于大流量的攻击来说这种方法并不可取,原因么一是太烧钱啦,如果服务器性能不行带宽还没加服务器就可以挂了。再来看第二种也是现在比较多的方法,接入第三方高防或者流量清洗系统,以国内云厂商为例,先说下阿里云默认抗5G,有钱的话可以继续加,对小打小闹的攻击者来说可以防了,如果是针对性的还是建议接入流量清洗,高防的价钱实在太贵不建议每个月购买,如果长期受DDOS困扰可以考虑市面上的几家流量清洗,还是推荐大家用比较知名的厂商比如腾讯的大禹,蓝讯(价格比较贵)。不是很建议小厂商的虽然价格比较便宜,但是也听说过停止续费后恶意攻击的事件,少一点套路多一点真诚。。。第三种方法可以对非重要业务执行,因业务而异。 如果什么都没接入的情况下受到了攻击,这里简单的讲述一下措施(以云主机为列)。 短信收到攻击报警,提示流量超过防御范围。 收到这种短信是人看了都会一抖,特别是业务高峰的时候。云主机厂商为了保护自家的其他用户超过阈值会直接切断你的ip,此时页面就会一片白。 紧急操作,通知相关负责人,替换新IP。 购买新的IP,然后在域名厂商处立刻替换,等待生效,查看生效一般用到以下命令,ping,dig ping就不多说了,绑定好以后开一个终端ping着就可以了, dig命令可以查看新的域名ip有没有生效,碰到业务有CDN的可以看是否回源完成(一般5-15分钟)。 这里要讲下为何用了CDN还是被打到了源站IP,还是那句话攻击前的踩点很重要,通过ping,站长之家等各种手段可以查看到被攻击的站是否用了CDN甚至是哪一家CDN 。通过尝试ping一级域名泛解析尝试是否可以ping通,通过github上寻找是否有源站IP记录等等,只要有配置不当的地方找到源站IP还是很简单的,对于大流量的攻击拒绝服务也就是秒秒钟的事了。
总结的都是企业常见的一些防御手段,很不错哦~
而下一位,xiaoye大佬也小试牛刀,分享了一波经验:
ddos是分布式拒绝服务攻击,单纯的dos攻击其实很容易防范,一般做的规则是对ip的频率数据包量等进行控制,这个在waf或者iptables里都是常见的规则,很容易防范:扫带waf的网站是经常被“拉黑”就是对ip的频率做出的限制;p.s:iptables绝对是异常强大的访问控制工具,用好了事半功倍,甚至堪比硬件防火墙(这句话不是我说的。。不知道真假欸) 我们假象,如果我们有很多代理ip,然后在扫描的过程中不停切换ip,这样是不是就绕过了频率的限制了呢,对,就是这样: 单纯的扫描可以比作dos攻击,而切换代理ip就可以比作ddos,“分布式”拒绝服务攻击,因为他拥有多个看似正常的ip来进行看似正常的操作,然而,当许多个ip,或者说成千上万的主机,一起对目标进行攻击,也将会造成巨大的伤害 分布式拒绝服务攻击之所以难以防范,是因为攻击来自于大量的看似正常访问的非正常主机,但是对于服务器而言,每一台发包的主机都是一个合法的用户,因为web server就是用来给人访问的,从这个层面上讲,每一个"攻击者"似乎都是合法的!彻底根治ddos,势必会影响到正常访问的用户,而这是站长或者厂商最不愿意看到的:没有用户pv,网站靠什么运营?另外网上那些误封率0的宣传,我是不信的。。 对ddos的防范一直是块短板,有钱的去流量清洗,没钱有底子的自己去做反向代理加负载均衡,也能抗一波流量,waf之类的防护软件也已经具备了基本的防护功能 ddos有很多种类,smurf 、tcp syn flood、udp flood、icmp flood等等等等,建立全面且准确的防御规则,是waf厂商的一大任务以及机遇 现在时代不同了,cdn的出现无疑是一大福音,不容易直接获取真实ip,多节点也可以抵御ddos。(其实也用到了负载均衡,当然还有缓存之类,将用户的请求定向到最合适的缓存服务器节点上去获取内容)
防御ddos,大厂商想要安全性可以去流量清洗,而一些小厂商,或者个人blog的站长,这个方式显然太烧钱了,开始也不能一直被d不是;有底子的站长可以去做反向代理加负载均衡,抗一小波流量是不成问题的,cdn也是用到了负载均衡技术哦~
元霸大佬的观点是“新兴和传统的手段,硬件设备都一样,无非是在硬件资源,宽带资源进行流量进口量的放大。”并且提出了方案:
有个人曾经写过一篇《十全大补帖,抗DDoS究竟哪家强?》 但是又没有那家来具体说明 能完全防御DDos 攻击 有过一篇报道是这样说的 云堤抗D方案什么样? 先讲三个核心观点>> 第一个观点:抗D服务是一种缓解方案,而不是一种治愈方案,它可以缓解DDoS对业务的影响,而不是彻底根除DDoS攻击,Mitigation not Clean。 第二个观点:没有哪一种抗D服务是包打全能的,需要根据实际情况灵活应对,必要时采取多种组合,任何宣称完美抗D解决方案的都是耍流氓。 第三个观点:即便所有组合方案全上,抗D服务也不可能完全实现自动化,有必要的人工干预、定制策略才能更好实现抗D效果,尤其是混合型攻击、应用层攻击。 是啊,抗D服务是一种缓解方案,而不是一种治愈方案。 但是 如帖子 三楼所说,现在预防dos的基本方法 1负载均衡 2多节点防火墙 3充足的带宽 4多节点服务器 5过滤不必要的服务和端口 6合理优化系统,避免系统资源的浪费 7检查访问来源并做适当的限制 8限制特定的流量 也或者向一楼所说 企业应该采用如下判断点,不要浪费大量的资源 1.判断机制 2.控制机制 3.止损机制 4.建立新型企业级运维云平台,部署多节点,服务开集群,同时关闭不必要的端口,严格检测如80这些端口。避免出现阻塞情况。 5.提升带宽,限制部分无用的服务,资源耗尽无解。尽量保存数据,准备重启吧。。。
观点和防御ddos的基本方法说的都很不错,针对企业也提出了一些方案。
yangwen表哥则是就硬件防火墙和cdn都发表了观点:
我去年在的一家公司曾经一段时间收到过100~200G的ddos攻击还有数不胜数次的CC攻击! 1.硬件防火墙 服务器大家都买过吧,买的时候都会看到商家说什么200G硬防,300G硬防。 那这个意思就明显了,我告诉你了你买我这个机子我只能帮你扛200G300G的量,那如果攻击者400G扔过来,你说你死不死? 防火墙防御工作原理我分析不出来,不过大家都知道正常用户访问肯定是TCP/IP有三次握手包,DDOS一般是发出两次握手包,然后服务器就在等客户机的第三次握手,等啊等却一直没等来, 然后越来越多的tcpip握手包,都只有前两次,服务器就在等越来越多的第三次握手包。虽然说防火墙本来就具备这个分辨的能力,但是还是一样!超过你防火墙能防的量你就得死! 2.CDN CDN就要比硬件防火墙理智的多,其优点是: (1)用户根本获取不到你真实的IP (2)以TX的为例,一百个域名,200个节点。随机分配。 假如200G的硬件防火墙在知道你真实IP后直接300G量打过来,你肯定要死的把。 那如果换成CDN,我两百个节点,假如每个节点能防30G,200*30就是600G,你来打我呀!笨蛋!那CDN会死吗?当然会!假如说你有十个节点,我全部获取到之后全给你打死!CDN可以说是网站和用户之间的中转站,所以你的网站也跟随着一起死去了!但是其代价也是相当大,得多少量才能打动数十个甚至上百个节点? 硬件防火墙 VS CDN 我感觉CDN比较好。不过呢,硬件防火墙的机子相对来说便宜一点,CDN就很贵了。 TX的CDN我之前可是领教过,100个域名,两百个IP。当时是因为硬件防火墙防不住了,我选择了TX的CDN并且是流量计算模式!!!! 记得当时每天流量1T多!一个月下来大概1万8左右!
高防硬件防火墙也是有限制的,不可能扛下无限流量;cdn更加理智,多节点可以分担攻击流量,而且负载均衡也有神奇的效果,当然想用高质量的cdn,money肯定是要掏的~
可以看到不少大佬也是在工作中遇到了ddos和cc攻击(ddos在实际中发生的很频繁啊~)
遭遇到ddos攻击后,厂商或者站长绝不应该采取容忍的态度,要积极的去防御,必要时候要采取法律手段。
降龙大佬也是遇到过ddos,他认为被动的防御不是解决办法,并且呼吁相关部门对此采取措施。行政和法律方面我们不多谈,我们目前能做的就是建立自己的防御机制:
一些主机商遭遇ddos攻击大多是选择忍到攻击停止,不仅可能会对在他们服务器上搭建的网站或者一些服务器进行的工作造成极大的影响,间接的造成经济损失,甚至会流失大量的客源,危害极大。 之前自己也开过一些小网站,然后实在做不下去了,因为总有一些人掌握着大量僵尸网络资源,他们对ddos乐此不疲,并且有相关的不菲的经济收入,目标也总是web服务开放的端口。他们对于ddos的看法就是:只要量够大,没有打不死的目标(ಠ .̫.̫ ಠ) 前两天据说百度还被弄死了几十分钟,所以我对被动的防御持很大的看法。 所以纠结起ddos的源头,还是要呼吁相关部门对那些基于ddos以及僵尸网络集群的黑色产业链给予高压态度,并且在防范方面还要做及时的网络攻击预警,全网流量攻防态势,例如一些高危漏洞可能造成的僵尸网络及时的预警并更全面更深入的评估其安全风险,其他的原因也没有人或者相关法律可以进行限制。 我们可以做的有,对一些攻击者试探性的攻击做出及时的反应,其他防范方法 一般是禁ip,禁网段,做均衡负载服务,优化资源使用提高 web server 的负载能力,及时修复可能存在的安全漏洞,及时更新相关服务,使用硬件防火墙,增大网络带宽,砸钱。或者使用使用其他网络公司提供的高性能的基础物理网络服务(昂贵)等等。 但还是引用某某大D阔的一句话:只要量够大,没有打不死… 我们只有尽力去与ddos做斗争,尽量减少或者避免相关的损失,防患于未然
wuli zusheng表哥也发表了精辟观点:
常规硬件防火墙一般来说对于抗DDOS的作用不是太大,因为常规防火墙主要是依靠控制通过防火墙的IP地址和端口进行防护的。而DDOS往往是大量IP同时并发进攻防火墙。如果攻击者选择80端口作为攻击端口的话,由于网站自身服务必须要防火墙放行80端口,因此对此攻击方式是没有太好办法。另外DDOS攻击的方式有两种,一种是大量的数据包阻塞网络带宽,这个需要使用负载均衡设备进行分流与流量清洗;另一种是大量的半开连接请求耗尽服务器资源池,这个就需要加大服务器硬件配置,缩短连接超时时间,建立服务器分布式集群等方式来进行对抗了。CDN有流量清洗就不用自己。 抄心了,反正给钱就是了。
简单粗暴的解决方式:砸钱。。哈哈,当然表哥也提到了个人可以做的一些防御措施,如负载均衡、建立集群等等
屌丝绅士表哥更是接连两次发表了观点:
回复1: 个人认为还算过得去的硬件防火墙没几个,不细说 方法嘛 就这些 1负载均衡 2多节点防火墙 3充足的带宽 4多节点服务器 5过滤不必要的服务和端口 6合理优化系统,避免系统资源的浪费 7检查访问来源并做适当的限制 8限制特定的流量
回复2: 太详细的懒得写,不过 个人认为抗D 大同小异,如果换个想法,按照老总的想法老说呢,,当然是那个便宜 那个牛逼用那个,,翻译过来就是,空手套白狼的思想,然后我就呵呵了, 一方面 企业的发展和业务的扩张一定会越来越庞大,在原有的基础上不想增加设备,但又不想背负漏洞,显然这是不可能的,借用我大大的说法就是 卡节点,层层防御的办法,既然硬件需要钱,那我就用写死的软件去弥补, 另一方面,换个思路,学学迅雷的下载宝,把一些路由器或者常用的终端中存放一些常规数据,这些设备在平常访问的时候,出站本地对素材进行效验,然后上传节点,转发到客户端,这个思想比较类似分布式运算
第二个内容针对企业防御ddos提供了很好的思路:“分布式”,分布式的dos攻击,用分布式的思想去防御(cdn的多节点和这个有点类似)
卖假药的大橙子表哥观点如下:
A10 Network*(666).目前为止没有比较厉害的办法。无论是传统还是新型技术。都处于相对比较被动的位置。技术永远受限于攻击方。上海云盾出的太极。目前没有很完全的数据公布。不清楚新一代的对抗情况。对抗死循环在于,D法本身是占用用户的正常区域资源所导致的技术方向,企业和用户也无法放弃这一块的资源利用。问题就在 1.判断机制 2.控制机制 3.止损机制 目前新兴和传统进度都一样。因为一般对抗的关键点都在于不可规避的点,也就没有更好的办法。缩短连接延时时间,建立新型运维机制,改善服务器的配置,同时需要严格控制损失情况,控制清洗流量监测流量。 1.建立新型企业级运维云平台,部署多节点,服务开集群,同时关闭不必要的端口,严格检测如80这些端口。避免出现阻塞情况。 2.提升带宽,限制部分无用的服务,资源耗尽无解。尽量保存数据,准备重启吧。。。 3.找个大牛多一点的防火墙合作伙伴吧,或者对自己的运维人员好一点吧。。这样还能事后多挽回一些损失。 4.新兴和传统感觉区别不大,都处于被动状态,也没有更好的解决办法。
传统和新型技术目前还都是较为被动的状态,这是实话,所以目前的机制依旧不是很完善:只要肉鸡多流量够多,理论上可以打死任何站。。
fs冷逸表哥从主动防御的角度出发谈了自己的看法:
分布式拒绝服务(Distributed Denial of service)简称DDOS,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上,代理程序收到指令时就发动攻击。 如今任然没有什么可以阻挡DDOS的工具,各种穿盾,过墙工具层出不穷,网站服务器安全仍然为一大问题仅仅依靠某种系统或产品防住 DDOS 是不现实的, 可以肯定的是, 完全杜绝 DDOS是不可能的,但通过适当的措施抵御 90%的 DDOS 攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御 DDOS 的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS 攻击。
虽然无法彻底防御ddos,但是站长/厂商的主动防御将大大提升攻击的成本,对ddos也将起到一定的作用。
zooujun如是说:
看到有活动,非常高兴可以参加。个人的小白一枚,技术很菜。但是看到这个话题,结合自己的经验,简单的说一说。传统抗D设备 vs 新兴CDN抗D:抗D效果哪个好? 首先对比一下,传统的抗D设备,比较有名气的就是绿盟的黑洞,听名字感觉可以吞噬一切ddos,但是貌似cc就是针对它来的,谁叫你树大招风呢。各个传统安全厂商,一般都有抗D的设备,或者是在utm、下一代防火墙的功能里面,但是效果就不一了。由于硬件设备的硬件架构和接口带宽有限,用户很少去购买。很多用户觉得,自己的单位没有必要上抗D的硬件,这个确实是这样的,如果真的有黑客要ddos你,那一般的设备也抗不住的。 相比新兴的抗D厂家,大家都是通过无数的设备堆叠出来的,无数的节点链接在一起,抗D效果可见一斑。但是每个新兴的抗D厂家的投入、技术能力的不同,抗D效果肯定也不一样,他们的收费当然也不同。 可能有些用户试用了新兴抗D的产品,但是还是被打瘫了。自然对新兴抗D没有信心。事实上,新兴的抗D厂家还是很有能力的,比如阿里的阿里盾,知道创宇的创宇盾,webray的玄武盾,都是非常好的。每个厂家的抗D效果,要看客户肯投入的成本以及黑客攻击的手段。 我相信,未来大中型企业,以及小型企业都会上线新兴抗D产品的,因为价格优惠,效果明显。 也希望黑产能快点消失,让广大网友和企业,不受损失。
表哥分析了新兴的抗d设备和手段,他认为抗d厂家将会越来越多、越来越专业。
细心大佬有两次回复,因为太长啦,摘选其中精华的一段,完整版可以详见原帖:
回到正题:至于DDOS 我们应该从实际出发,针对我们的客户做成比较合理的方案,方案是什么?我的理解就是money,因为根据实际环境我们要去判断我们or那些人针对我们的客户(或者客户其他)我们还要判断客户的money他可以做多大的安全防护,或者他对于假如遭到DDOS的损失,or以及遭到DDOS攻击时候,我们要有想要的预案,或者说告诉客户如何去处理。快速的解决。保证我们正常的业务范围不受到不法侵害。 基于解决方案:我的理解是要创新,要有核心思想。核心技术。 因为互联网,每一秒都在变,这一秒和下一秒,都是未知的。。。。。。。 就如vulnerable 总是那么的层出不穷,Windows不是还说出过一个最安全的系统吗?结果那。。。我不懂。 基于DDOS或者互联网安全;我们只能说在“攻与防中对立”在攻防转换中,可以快速响应,拿出解决方案,在进步中“矗立不倒” 最后说个大家都知道的寓言故事:矛与盾!哈哈哈 谁好,大家好,才是真的好。
以及:
在合理的money下给出最优的解决方案保证我们客户的利益,是最好的结果,也是我们品牌价值最高的体现! 我的方案是:人工智能+云大数据+规则+过滤防御等级(响应等级)+调查取证+反击(因为防御只是被动的挨打)
最后的方案给的很好,必要时候我们的确需要取证,借助法律的力量来进行反击,维护自己的合法权益。
infosafe表哥总结了很多实用的抗d措施:
国内各种盾不少,抗ddos能力也是相差不大,随拉几条 1.国产防火墙大多是UNIX\LINUX+iptable等包过滤型防火墙修改为主,因为上升到应用层,抗ddos能力较弱. 2.抗d功能要下放到网络层,即network框架内实现,通过hook挂入抗击模块. 3.利用syncookie+sysproxy实现基本的抗击. 4.找到关键的时间间隔值,多1ms则多,少1ms则少,可实现握手协议的有效识别,偏门。 5、对proxy的攻击,除了标记识别外,还有约1/4来无法有效过滤,这也是为什么cc现在还有效果的原因。 6、应用层的防护,还是指纹鉴别为主,但是要消耗cpu。 7、绿x确实在架构上可圈可点,但其流量牵引的机制存在bug,可以突破造成调度设备异常。 8、抗击的思路还是鉴别+大量清洗。 9、香港的机房能实现简单的溯源,不简单。 10、国内运营商大多开启伪造路由识别,从idc机房发起的见少了。但是又在搞提速,肉鸡的能力越来越强了。 抗击趋势,识别(行为+指纹)+CDN清洗,老式清洗平台会逐渐退出舞台。
除了抗d措施,表哥也提到了以后抗d的趋势:识别+cdn清洗(其实,识别是更难实现的,误判、漏判都将造成一定的后果)。
mycookie表哥再次提到了cdn:
安全狗很好。 都是说的从外到内抗,然额 现在的剧情是 很多企业都遭受从内部ddos 的剧情 内网被渗透感染,从内网dos攻击内网的出口设备等,比如 带宽管理设备等,比较容易弄瘫整个网络出口。 从外到内dos ,对于依赖出口的企业该上的就得上 第一关 硬件负载均衡f5或者redware 第二关先硬件防火墙 第三关 抗ddos设备 第四关 ips 第五关 waf 第6关 服务器 软负载均衡 另外需要买第三方的 流量清洗服务,应为你再牛逼,带宽也是有限的,大量的流量还是靠idc 这样的机构去解决。 cdn 是不可缺少的。 当然以上 都是钱堆出来的,看网络规模 。
有兴趣的小伙伴可以去深入了解一下cdn的思想,非常有意思~
1012699799大佬提出了很不错的观点:
DOS和DDOS是什么?不想说,你们自己知道就好,不知道问百度去 DDOS攻击模式不外乎发送请求包,TCP三次握手,就跟你握手两次后。。。。。你等着我,我一定会回来的。 说明了你知道这是DOS攻击,不告诉你这是攻击,那么服务器怎么甄别?同一IP多次玩这套?不同IP也玩这一套?iptables限制连接数?封IP?封区域?不不,我跟你讲,你要这么玩,你会被踢的你知道不?pv没了?校园网你知道怎么回事吗?人多网络还不稳定。。。用网高峰三次握手,能跟你握一次那就老牛逼了。 我以前干小网管工作中碰上过DOS攻击,当时很兴奋,我***这么多访问,要发啊,干两年老板赏识我,我慢慢的会当上CEO赢取白富美,走上人生巅峰。。。 当时又搭建负载均衡,买带宽,流量不是很大,经过一番折腾挺住了,然而我的人生巅峰并没有到来,我被人玩了,心情很失落,才知道碰见DOS攻击了。过了一周到汇报的时候,老板不懂网络,一听被人攻击,立马开大会找解决办法。花高薪请来一大神,听说薪资很高能在北京买房子的那种,以前是做物理防火墙的。来了以后开始大肆整改,通宵达旦写规则,很屌。应用后我们的日常PV从几十万瞬间降低到了几千上万。。。。。从来没有被攻破过,很稳定。实习期过了,我就走了,现在想想也挺惋惜的,当时要是找的明白人,现在全国最大的二手车交易网站就不是现在这家了。 跑题了,回到正题,那么抗D设备哪家强? 大禹治水知道不?黄河决堤知道不? 堵不如疏
堵不如疏,这位大佬应该是认为被动防御,不如主动疏导,将流量分流降低压力,很不错的思想~
总结:
防御ddos,需要整个行业的支持,这项事业既不可能一蹴而就,也不可能单独一家企业或者个人力挽狂澜。
防御ddos的路还有很远,但是路虽远,行必达,愿热爱it行业的每个人、每家企业都能为ddos防御体系的建设贡献一份力量!
再次感谢友情支持的xiaoye大佬~ 欢迎大家在下方留言
|