隨著軟硬件服務(wù)的廉價化、規(guī)模化�����,國內(nèi)外云廠商頻繁遭受不明原因的大規(guī)模網(wǎng)絡(luò)攻擊,給很多網(wǎng)站帶來了不良的影響���。其實(shí)����,DDoS 攻擊這把「達(dá)摩斯之劍」一直高懸在各家互聯(lián)網(wǎng)公司的頭頂�����,雖然很多互聯(lián)網(wǎng)企業(yè)對 DDoS 攻擊都是深惡痛絕�����,不過,到目前為止��,很難從技術(shù)層面進(jìn)行徹底的解決�����,原因就在于 DDoS 其實(shí)是一種合法的「攻擊」�����。
什么是 DDoS 攻擊?
DDoS(Distributed Denial of Service) 也稱之為分布式拒絕服務(wù)���,指借助于客戶/服務(wù)器技術(shù)�,將多個計算機(jī)聯(lián)合起來作為攻擊平臺��,對一個或多個目標(biāo)發(fā)動 DDoS 攻擊�,從而成倍地提高拒絕服務(wù)攻擊的威力。簡而言之���,DDoS 攻擊就是通過大量合法的請求占用大量網(wǎng)絡(luò)資源�����,以達(dá)到癱瘓網(wǎng)絡(luò)的目的�����。
我們可以看看國內(nèi)外有哪些比較經(jīng)典的 DDoS 攻擊案例:
2013年3月創(chuàng)記錄的300 Gbps�����,Spamhaus����、 CloudFlare 遭到攻擊,被評價為「差點(diǎn)癱瘓歐洲網(wǎng)絡(luò)」的攻擊事件�����。
2014年2月創(chuàng)紀(jì)錄的400 Gbps�����,攻擊對象為 CloudFlare 客戶��,據(jù)稱當(dāng)時包 括4chan��、維基解密在內(nèi)的78.5萬個網(wǎng)站安全服務(wù)受到影響����。
2014年3月底, Anonymous 黑客組織發(fā)動了大規(guī)模的 DDoS 攻擊���,導(dǎo)致該索尼公司的 PlayStationnetwork.com 網(wǎng)站一度無法訪問����。索尼公司所稱���,DDoS 攻擊過程中���,索尼的 PSN 服務(wù)服務(wù)器被攻破,造成7700萬用戶數(shù)據(jù)被盜��。
在2014年12月20-21日間�,部署在阿里云上的某知名游戲公司,遭遇了全球互聯(lián)網(wǎng)史上最大的一次 DDoS 攻擊����,攻擊流量峰值達(dá)每秒453.8Gb,仍是一個刷新排行榜的「巨大」數(shù)字�。很多人都不知道這個數(shù)字的概念,要知道國內(nèi)一些中小城市總的帶寬也不一定有 450G,也就是說��,如果這么大的流量打到某個城市的 IP 上�,這個城市就要斷網(wǎng)了。
DDoS 攻擊造成的影響和后果
也許你覺得 DDoS 攻擊都是大公司才會遭遇的問題���,那你就「大錯特錯」了����,F(xiàn)在 DDoS 攻擊成本極低��,甚至已經(jīng)形成了產(chǎn)業(yè)鏈�,一些黑客明碼標(biāo)價。比如�����,打1G 的流量到一個網(wǎng)站一小時��,網(wǎng)上報價只需50塊錢�。之前����,國內(nèi)就有一家 P2P 網(wǎng)貸的網(wǎng)站 CEO 為了打擊競爭對手,雇傭黑客發(fā)動 DDoS 攻擊,導(dǎo)致對方業(yè)務(wù)全線癱瘓����。
我們還可以看一些權(quán)威數(shù)據(jù),DDoS 防護(hù)服務(wù)市場領(lǐng)導(dǎo)者 Black Lotus 發(fā)布的報告顯示�,全球大型服務(wù)提供商都飽受各種 DDoS 攻擊。攻擊范圍非常廣泛�,涵蓋各行各業(yè),其中64%的平臺提供商受到 DDoS 攻擊影響����,66%的托管解決方案提供商和66%的 VoIP 服務(wù)提供商受到影響。
DDoS 攻擊會造成非常嚴(yán)重的影響���,61%的各類型服務(wù)提供商因被攻擊而威脅到正常的商業(yè)運(yùn)作�����,甚至造成利潤流失或者客戶隱私被竊����。
來自卡巴斯基的調(diào)查分析顯示����,38%的 DDoS 攻擊的受害者無力保護(hù)其核心業(yè)務(wù)免遭攻擊。攻擊也能影響信用評級以及保險費(fèi)。一個單一的 DDoS 對公司的在線資源的攻擊可能會造成相當(dāng)大的損失���,平均的數(shù)字根據(jù)公司規(guī)模的不同��,大概從52000美元到美國444000美元不等�。
其實(shí)�,如果僅僅是對資產(chǎn)造成影響還可以接受,但是很多時候���,DDoS 攻擊帶來的間接影響是非�?膳碌�����,因?yàn)楹芏嘤脩舨⒉恢���,他們只會覺得這家公司服務(wù)不好�����,并且會造成合作伙伴和客戶無法進(jìn)行網(wǎng)絡(luò)訪問的情況���,甚至?xí)䦟韭曌u(yù)造成致命的打擊,這是用金錢無法衡量的�。
常見的 DDoS 攻擊解決方案
在云計算時代,對于任何 DDoS 攻擊而言��,需要的不是防御方案��,不是某一個安全設(shè)備��,而是是一個快速響應(yīng)的機(jī)制����,一個團(tuán)隊,是一個能夠做迅速做系統(tǒng)分析��,快速做出決策的團(tuán)隊�����。從目前來看����,雖然降低 DDoS 攻擊的影響并非易事,但是我們也要主動采取措施進(jìn)行避免�����。一般而言,我們常見的防御方案如下:
多域名備份;
每個域名的接入服務(wù)器分別部署在不同的主流云系統(tǒng)上��,并分別使用 CDN;
在云之間架設(shè)隧道 VPN��,服務(wù)器相互之間通過 VPN 做數(shù)據(jù)同步和心跳;
DDoS 發(fā)生后可能短時間無法完全防御����,因此要有保證最小服務(wù)的生存的意思。例如:留1-2個站點(diǎn)作為不對外提供服務(wù)的冗余節(jié)點(diǎn)���,并做好保密措施
那么問題來了�����,如何快速分析大面積受限服務(wù)的原因呢?如何能幫助云服務(wù)廠商和客戶構(gòu)筑一個快速響應(yīng)機(jī)制呢?首先��,我們需要確定是由于 DDoS 攻擊�,還是因?yàn)樵O(shè)備故障����。然后再想方設(shè)法幫助云平臺客戶快速響應(yīng),及時跟云服務(wù)廠商溝通��,進(jìn)而采取相應(yīng)的備選方案�����。
如果是 DDoS 攻擊,及時求助云廠商過濾可疑攻擊源地址���,或采用應(yīng)急備份服務(wù);如果是網(wǎng)絡(luò)硬件問題,云服務(wù)商就可以根據(jù)客戶反饋快速甄別是否是外部問題�����,這樣會極大降低客戶的損失���,并且保障好公有云(IaaS)廠商的服務(wù)質(zhì)量�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
