DDos 攻擊自打出現(xiàn)以后����,就成為最難防御的攻擊方式�。僅僅在過去的一年里,DDoS 的數(shù)次爆發(fā)就讓人大開眼界���。
事件
2016年4月��,黑客組織對(duì)暴雪娛樂發(fā)動(dòng)了 DDoS 攻擊���,魔獸世界�、守望先鋒多款游戲出現(xiàn)宕機(jī)的情況�。 2016年5月,黑客組織針對(duì)全球銀行機(jī)構(gòu)發(fā)動(dòng) DDoS 攻擊,導(dǎo)致約旦����、韓國�、摩納哥等國的央行系統(tǒng)陷入癱瘓。 2016年9月�,法國主機(jī)商 OVH 受到 DDoS 攻擊,峰值達(dá)到1Tbps 2016年10月����,DynDNS 受到 DDoS 攻擊,北美眾多網(wǎng)站無法訪問��,受影響的網(wǎng)站均排前列���。
在你不經(jīng)意之間�����,DDoS 可能已經(jīng)在互聯(lián)網(wǎng)上橫行無忌了�����。
在談攻防史之前���,我們先來看看 DDoS 的攻擊原理����,知己知彼���,百戰(zhàn)不殆��。
什么是Ddos 攻擊?
DDoS 攻擊是分布式拒絕服務(wù)攻擊(Distributed Denial of Service)的縮寫���,核心是拒絕服務(wù)攻擊,通過使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡��,使服務(wù)暫時(shí)中斷或停止�����,導(dǎo)致其正常用戶無法訪問����。而攻擊的形式,又分為帶寬消耗型和資源消耗型�。帶寬消耗型通過 UDP 洪水攻擊、ICMP 洪水攻擊以及其他攻擊類型���;資源消耗型包含 CC攻擊����、SYN 洪水攻擊�����、僵尸網(wǎng)絡(luò)攻擊等��。不同的攻擊類型���,我們的應(yīng)對(duì)措施有所不同�。不過在我們的日常工作中��,我們所使用的 DDoS 攻擊普遍是帶寬消耗型攻擊����,也就是說,黑客會(huì)針對(duì)你的服務(wù)器發(fā)送海量 UDP 包�����、SYN 包�,讓你的服務(wù)器的帶寬被攻擊流量占滿�,無法對(duì)外提供服務(wù)����。舉個(gè)例子:用戶通過網(wǎng)絡(luò)來訪問你的服務(wù)器就如同客人過橋來找你,但是由于你的錢只夠建立一個(gè)雙向四車道的橋���,但是攻擊者派了 100 輛大卡車��,堵在你的橋門口�,導(dǎo)致沒有正����?腿四軌蜻^橋來找你。
在這種情況下����,你如果想要讓你的客人能夠繼續(xù)訪問,那就需要升級(jí)你的大橋�����,來讓有空余的車道給你的客人來通過����。但是�,在中國的帶寬由三大運(yùn)營商移動(dòng)聯(lián)通電信提供接入����,互聯(lián)網(wǎng)帶寬的成本是非常高的����,而攻擊者使用肉雞攻擊,攻擊的成本要低很多��,所以我們無法去無限制的升級(jí)我們的帶寬�。
在互聯(lián)網(wǎng)的初期,人們?nèi)绾蔚挚?DDoS 攻擊�?
DDoS 并不是現(xiàn)在才出現(xiàn)的,在過去����,黑洞沒有出現(xiàn)的時(shí)候,人們?nèi)绾蔚挚?DDoS 攻擊呢���? 在互聯(lián)網(wǎng)初期�,IDC 并沒有提供防護(hù)的能力���,也沒有黑洞�����,所以攻擊流量對(duì)服務(wù)器和交換機(jī)造成很大的壓力���,導(dǎo)致網(wǎng)內(nèi)擁塞����,回環(huán)�,甚至是服務(wù)器無法正常工作,很多IDC往往采用拔網(wǎng)線之類簡單粗暴的辦法來應(yīng)對(duì)�。后來,一些 IDC 在入口加入了清洗的程序�����,能夠?qū)袅髁窟M(jìn)行簡單的過濾��,這樣就大大的減輕了服務(wù)器和內(nèi)網(wǎng)交換機(jī)的壓力�����。但是機(jī)房的承載能力也是有上限的�����,如果攻擊總量超出了機(jī)房的承載能力,那么會(huì)導(dǎo)致整個(gè)機(jī)房的入口被堵死����,結(jié)果就是機(jī)房的所有服務(wù)器都因?yàn)榫W(wǎng)絡(luò)堵塞而無法對(duì)外提供服務(wù)。
后來���,黑洞出現(xiàn)了����,但是那時(shí)候的黑洞也是在機(jī)房的入口配置���,只是減輕了服務(wù)器的壓力,如果攻擊的總量超出了機(jī)房的承載能力����,最終還是因入口被堵塞而導(dǎo)致整個(gè)機(jī)房的服務(wù)器無法對(duì)外提供服務(wù)。在這種情況下�,宣告了攻擊者的得手,沒有必要再盡心攻擊�����,但是如果攻擊者并沒有因?yàn)槟繕?biāo)無法訪問而停手�����,那么機(jī)房入口仍有擁塞的風(fēng)險(xiǎn)。
后來�����,黑洞進(jìn)一步升級(jí)��,在機(jī)房黑洞之上采用了運(yùn)營商聯(lián)動(dòng)黑洞�����。在遇到大流量攻擊時(shí)�����,DDoS防御系統(tǒng)調(diào)用運(yùn)營商黑洞��,在運(yùn)營商側(cè)丟棄流量�,可以大大緩解DDoS攻擊對(duì)機(jī)房帶寬的壓力。
云計(jì)算平臺(tái)也廣泛采用了此類黑洞技術(shù)隔離被攻擊用戶�����,保證機(jī)房和未受攻擊用戶不受DDoS攻擊影響。 不僅如此�,云計(jì)算平臺(tái)的優(yōu)勢(shì)在于提供了靈活可擴(kuò)展的計(jì)算資源和網(wǎng)絡(luò)資源,通過整合這些資源�����,用戶可以有效緩解DDoS帶來的影響�����。
黑洞是如何抵擋 DDoS 攻擊的
目前最常用的黑洞防御手段的流程圖如上圖所示��。攻擊時(shí)���,黑客會(huì)從全球匯集攻擊流量,攻擊流量匯集進(jìn)入運(yùn)營商的骨干網(wǎng)絡(luò)�,再由骨干網(wǎng)絡(luò)進(jìn)入下一級(jí)運(yùn)營商,通過運(yùn)營商的線路進(jìn)入云計(jì)算機(jī)房���,直到抵達(dá)云主機(jī)����。 而我們的防御策略剛好是逆向的�,云服務(wù)商與運(yùn)營商簽訂協(xié)議,運(yùn)營商支持云服務(wù)廠商發(fā)布的黑洞路由��,并將黑洞路由擴(kuò)散到全網(wǎng),就近丟棄指定IP的流量��。當(dāng)云服務(wù)商監(jiān)測(cè)到被攻擊��,且超出了免費(fèi)防御的限度后�,為了防止攻擊流量到達(dá)機(jī)房的閾值,云計(jì)算系統(tǒng)會(huì)向上級(jí)運(yùn)營商發(fā)送特殊的路由���,丟棄這個(gè) IP 的流量�,使得流量被就近丟棄在運(yùn)營商的黑洞中�。
為什么托管服務(wù)商不會(huì)替你無限制承擔(dān)攻擊?
一般來說�,服務(wù)商會(huì)幫你承擔(dān)少量的攻擊,因?yàn)楹芏鄷r(shí)候可能是探測(cè)流量等�����,并非真實(shí)的攻擊�,如果每次都丟入黑洞,用戶體驗(yàn)極差���。 DDoS攻擊是我們共同的敵人��,大多數(shù)云計(jì)算平臺(tái)已經(jīng)盡力為客戶免費(fèi)防御了大多數(shù)的DDoS��,也和客戶共同承擔(dān)DDoS的風(fēng)險(xiǎn)���。當(dāng)你受到了大規(guī)模 DDoS 攻擊后�,你不是唯一一個(gè)受害者�,整個(gè)機(jī)房、集群都會(huì)受到嚴(yán)重的影響����,所有的服務(wù)的穩(wěn)定性都無法保障。 除此之外���,在上面我們說到�,目前 DDoS 都是帶寬消耗型攻擊�,帶寬消耗攻擊型想要解決就需要提升帶寬���,但是�����,機(jī)房本身最大的成本便是帶寬費(fèi)用����。而帶寬是機(jī)房向電信、聯(lián)通���、移動(dòng)等通信運(yùn)營商購買的�����,運(yùn)營商的計(jì)費(fèi)是按照帶寬進(jìn)行計(jì)費(fèi)的��,而運(yùn)營商在計(jì)費(fèi)時(shí)�,是不會(huì)將 DDoS 的攻擊流量清洗掉的�����,而是也算入計(jì)費(fèi)中���,就導(dǎo)致機(jī)房需要承擔(dān)高昂的費(fèi)用��。如果你不承擔(dān)相應(yīng)的費(fèi)用����,機(jī)房的無奈之下的選擇自然便是將你的服務(wù)器丟入黑洞��。
當(dāng)你的主機(jī)被攻擊后,服務(wù)商如何處理��?
目前隨著大家都在普遍的上云�,我們?cè)谶@里整理了市場(chǎng)上的幾家云計(jì)算服務(wù)提供商的黑洞策略,來供你選擇�。
AWS
AWS 的 AWS Sheild 服務(wù)為用戶提供了 DDoS 防御服務(wù)。該服務(wù)分為免費(fèi)的標(biāo)準(zhǔn)版和收費(fèi)的高級(jí)班�,免費(fèi)的標(biāo)準(zhǔn)版不承諾防護(hù)效果,存在屏蔽公網(wǎng) IP 的可能����。付費(fèi)版只需要每月交 3000 美元,則可以享受防護(hù)服務(wù)���。
Azure
Azure 為用戶提供了免費(fèi)的抗 DDoS 攻擊的服務(wù)�,但是不承諾防護(hù)的效果�。如果攻擊的強(qiáng)度過大,影響到了云平臺(tái)本身�,則存在屏蔽公網(wǎng) IP 的可能。
阿里云
阿里云的云盾服務(wù)為用戶提供 DDoS 攻擊的防護(hù)能力����,在控制成本的情況下��,會(huì)為用戶免費(fèi)抵御 DDoS 攻擊,當(dāng)攻擊超出閾值后�����,阿里云就會(huì)對(duì)被攻擊 IP 實(shí)行屏蔽操作����。 阿里云免費(fèi)為用戶提供最高 5Gbps 的惡意流量的攻擊防護(hù),你可以在各個(gè)產(chǎn)品(ECS��、SLB��、EIP等)的產(chǎn)品售賣頁面看到相關(guān)的說明和條款���。在其幫助文檔也說明了相關(guān)的服務(wù)的限制���。
騰訊云
騰訊云也為用戶提供了免費(fèi)的 DDoS 攻擊防護(hù)服務(wù),其免費(fèi)提供的防御服務(wù)的標(biāo)準(zhǔn)如下:外網(wǎng) IP 被攻擊峰值超過 2Gbps 會(huì)執(zhí)行 IP 封堵操作(丟入黑洞)�,一般黑洞的時(shí)長為2小時(shí),大流量攻擊時(shí)���,封堵的時(shí)長從24小時(shí)到72小時(shí)不等����。
普通 IDC
普通的 IDC 大多不提供防御能力,如果受到攻擊���,會(huì)存在被拔網(wǎng)線的可能�。
如何合理的借助云計(jì)算的能力來抵抗 DDoS 攻擊
合理的借助云計(jì)算的能力�,可以讓我們盡可能的減少被攻擊時(shí)的損失:
1,充分利用云平臺(tái)的彈性可擴(kuò)展資源����。設(shè)計(jì)可以橫向擴(kuò)展的系統(tǒng)架構(gòu),避免IP資源或者CPU資源耗盡��,不僅可以有效緩解DDoS攻擊的影響����,而且可以提升系統(tǒng)可靠性。
2��,縮小攻擊半徑�。在設(shè)計(jì)系統(tǒng)時(shí)分離應(yīng)用層和數(shù)據(jù)層,分離網(wǎng)絡(luò)訪問層和系統(tǒng)服務(wù)層�,充分利用云服務(wù)提供商提供的云數(shù)據(jù)庫、云存儲(chǔ)����、負(fù)載均衡��、云網(wǎng)絡(luò)等產(chǎn)品,可以有效緩解DDoS攻擊的危害�����。
3����,考慮選擇合適的DDoS防護(hù)方案,主動(dòng)抵御可能出現(xiàn)的DDoS攻擊��。
4�,準(zhǔn)備應(yīng)對(duì)DDoS預(yù)案,第一時(shí)間響應(yīng)并實(shí)施應(yīng)對(duì)方案���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
