V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
ragnaroks
V2EX  ›  云计算

有什么 ddos 方式是不会造成对方机器负载上升的?

  •  
  •   ragnaroks · 2016-05-27 14:58:35 +08:00 · 6120 次点击
    这是一个创建于 2862 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在阿里云的机器被 ddos 了(今天中午 11 点开始),图表里面负载正常,阿里云表示:

    售后工程师 : 您好,服务器遭受大流量的 ddos 攻击,攻击流量跑上去超过服务器免费的流量阀值,服务器就直接断网了黑洞,此时服务器不会被外部访问到,负载也不会高,谢谢! 2016-05-27 14:51:23

    对此我也有个疑问,难道阿里云 1s 内就将流量 null 了?在那 1s 内丝毫都不到机器?

    机器上就一个网站,而且截止至目前为止并未收到任何联系,
    根据阿里云提供的信息"遭受峰值流量为 5.75G 的 DDoS 攻击",怎么也得联系我拿点钱吧?
    63 条回复    2016-09-22 12:45:26 +08:00
    ragnaroks
        1
    ragnaroks  
    OP
       2016-05-27 15:00:15 +08:00
    怕水深,目前在其他地方也开了一台,
    如果未受攻击的话那我或许得准备 1000W?
    lslqtz
        2
    lslqtz  
       2016-05-27 15:01:24 +08:00
    被 ddos 负载不会上升,因为人已经把你拔线了。
    ragnaroks
        3
    ragnaroks  
    OP
       2016-05-27 15:04:55 +08:00
    @lslqtz 阿里云也是这个意思,而我的意思是,他能做到 1s 内拔线,以至于任何日志都没有?
    McContax
        4
    McContax  
       2016-05-27 15:10:12 +08:00 via Android
    哟,阿里云最近不太平的说,还有貌似是伪 ddos 的情况
    ragnaroks
        5
    ragnaroks  
    OP
       2016-05-27 15:10:14 +08:00
    刚才来了一封邮件,我不知道是谁发的,匿名邮箱.
    我本以为是攻击者找我要钱,没想到居然是"兄弟要高防不?"...
    我遇到过几十次 ddos,基本上都是要钱的,而且都是先问你要钱,不给再打.
    但是这次都 4 个小时了还没邮件,阿里云又直接就黑洞了,貌似除了"购买阿里云的高防 IP"以外毫无解决办法啊.
    raysonx
        6
    raysonx  
       2016-05-27 15:24:57 +08:00 via Android   ❤️ 2
    阀值→阈值
    只要我一个人来吐槽这个错词吗
    ragnaroks
        7
    ragnaroks  
    OP
       2016-05-27 15:26:17 +08:00
    @McContax
    我觉得阿里云应该不至于搞这种事情,阿里云客服也有提供抓包日志,不过他的客服并不想解决问题,只想让我购买"购买阿里云的高防 IP".
    再等等看看,如果真是打我的站的,肯定会联系我要钱的,如果不找我要钱,那我就真有点尴尬了
    ragnaroks
        8
    ragnaroks  
    OP
       2016-05-27 15:27:36 +08:00
    @raysonx 关于阿里云的都被这样吐槽过了吧...我觉得他们是故意的
    ayaseangle
        9
    ayaseangle  
       2016-05-27 15:29:44 +08:00
    现在社会很推崇这种亦正亦邪的方式。。。谁晓得呢。。。
    cyr1l
        10
    cyr1l  
       2016-05-27 15:34:11 +08:00
    不买高仿就黑洞?天啊, 这推广方式。。。 他们也是有 KPI 吗?
    ragnaroks
        11
    ragnaroks  
    OP
       2016-05-27 15:57:47 +08:00
    对面还在打,阿里云这边也不回复工单了看来必须要"购买阿里云的高防 IP"才能解决问题.
    lslqtz
        12
    lslqtz  
       2016-05-27 16:10:07 +08:00
    @cyr1l 很正常啊,会影响别人,每家 idc 都是这么做的。
    ragnaroks
        13
    ragnaroks  
    OP
       2016-05-27 16:13:08 +08:00
    kideny
        14
    kideny  
       2016-05-27 16:17:59 +08:00
    这个,公司有钱,还是买高防吧。
    不然,客户会把你们公司电话打爆。
    小网站,就随他去吧。
    rekulas
        15
    rekulas  
       2016-05-27 16:22:25 +08:00
    ddos 流量肯定会流向机器的, ddos 主要攻击网络,不一定会瞬间导致 cpu 飙升(说不定机房检测到流量异常直接限制呢),你用什么记录的日志,别告诉我你用的 web 日志
    ragnaroks
        16
    ragnaroks  
    OP
       2016-05-27 16:47:57 +08:00
    哎,买了个负载均衡先凑合用吧,对方好像也只有 5G 左右攻击能力的样子
    lslqtz
        17
    lslqtz  
       2016-05-27 16:49:37 +08:00
    @ragnaroks 5g 太低了。。上台高防服务器吧,比高防 ip 便宜,腾讯云也比阿里云便宜。
    InFaNg
        18
    InFaNg  
       2016-05-27 16:59:07 +08:00 via Android
    阿里没钱啦给你说来了波 ddos 然后把资源空出来给大客户用咯😂
    BOYPT
        19
    BOYPT  
       2016-05-27 17:01:07 +08:00   ❤️ 1
    问:有什么 ddos 方式是不会造成对方机器负载上升的?
    答:失败的 ddos
    ragnaroks
        20
    ragnaroks  
    OP
       2016-05-27 17:45:20 +08:00
    @lslqtz 是的,已经准备换云了,目前比较考虑百度
    lslqtz
        21
    lslqtz  
       2016-05-27 17:54:16 +08:00
    @ragnaroks 没用 还是一 d 就封 要买独立的那种便宜 壕随便。
    irainsoft
        22
    irainsoft  
       2016-05-27 17:58:10 +08:00 via Android
    阿里云现在客服简直机器人
    skydiver
        23
    skydiver  
       2016-05-27 18:02:09 +08:00
    est
        24
    est  
       2016-05-27 18:06:16 +08:00   ❤️ 1
    服务器挂国外,国内反代, GFW 自动帮你清洗流量。
    lslqtz
        25
    lslqtz  
       2016-05-27 18:07:11 +08:00
    aliyunservice
        26
    aliyunservice  
       2016-05-27 18:43:53 +08:00
    您好,目前我们是在 3 秒内处理完成的,最快的处理不到 1 秒的。而且四层攻击不一定到您的服务器上,因为四层攻击的报文很多都是有明显畸形特征的,在各级网关上都会阻拦掉。但是攻击的流量成本还是很高的。请您了解哈。
    realpg
        27
    realpg  
       2016-05-27 18:54:05 +08:00
    @aliyunservice
    抓到不像机器的阿里云客服一只……
    jedicxl
        28
    jedicxl  
       2016-05-27 18:57:53 +08:00
    @raysonx 越来越多的人这么写,已经麻木了
    goodryb
        29
    goodryb  
       2016-05-27 19:34:30 +08:00
    @cyr1l 网络成本不要钱吗, 不要总是恶意的去意淫别人,如果一家公司靠这种下三滥的手段去服务客户,离倒闭也就 30 天了吧。
    Austing
        30
    Austing  
       2016-05-27 19:58:45 +08:00
    雖然我吐槽過很多次阿里雲,可以看我發帖記錄,但是阿里絕不會去故意搞 DDOS 這點我是認同的,,而且 3/4 層流量大多根本不會到你的機器上,可以自行測試提供一定防禦各大雲來試試。只要不是特別爛的防火墻都可以在幾 S 中處理掉= =。
    Austing
        31
    Austing  
       2016-05-27 19:59:27 +08:00
    @est GFW 根本不會幫你洗流量好吧。。流量到達較少完全是因為出口原因
    Austing
        32
    Austing  
       2016-05-27 20:01:45 +08:00
    對了 5.75Gbps 是極為常見的小型攻擊。實行起來基本沒有任何難度,隨便幾刀找個網頁端都可以,而且還有可能是隨便找了個 IP 測試啥的剛好是你的 IP 或者閒著沒事有人就想打一下你啥的。
    inter
        33
    inter  
       2016-05-27 22:15:07 +08:00
    @aliyunservice 有畸形特征的直接清洗掉不就行了,可以不算在用户身上呀
    lslqtz
        34
    lslqtz  
       2016-05-27 22:16:42 +08:00
    @inter 清洗需要成本。
    Mutoo
        35
    Mutoo  
       2016-05-27 22:41:20 +08:00
    @raysonx 我记得 threshold 还有一种译法叫 「门限」
    inter
        36
    inter  
       2016-05-27 23:04:40 +08:00
    @lslqtz 畸形特征的其实不用清洗,直接拦截就好了。比如用户根本没有开 udp 的 access rule , udp 包直接扔了就好了
    lslqtz
        37
    lslqtz  
       2016-05-28 00:22:34 +08:00
    @inter 拜托,拦截不等于流量消失,也就是清洗一个意思,流量还是会到达拦截设备。
    Austing
        38
    Austing  
       2016-05-28 02:27:45 +08:00
    @inter 扔?流量順著路由到機房了你怎麼扔? ISP 結算費用又不管你這些。。不 Null 路由的話難道還有其他辦法嗎?
    msg7086
        39
    msg7086  
       2016-05-28 05:36:06 +08:00
    不给钱就导弹。百试不爽的。
    ywencn
        40
    ywencn  
       2016-05-28 07:56:40 +08:00
    淘宝上买个佛山高防再反代,一个月 1000 ,妥妥的。
    CayenneS
        41
    CayenneS  
       2016-05-28 08:09:15 +08:00
    @ywencn 佛山有用嘛。。
    roxsky
        42
    roxsky  
       2016-05-28 08:14:14 +08:00
    @raysonx 阈值是对的啊,阈值事阈值的文盲版,事错别字,错的人多了才被接受了。
    inter
        43
    inter  
       2016-05-28 15:19:23 +08:00
    @lslqtz 清洗是要回注的,拦截只需要在路由上,把没有匹配规则的包扔掉就好,路由过滤包成本极低的
    inter
        44
    inter  
       2016-05-28 15:26:12 +08:00
    @Austing 没在说流量的事,在说明显有问题的包,路由应该有直接过滤的能力,不是 lz 啥也没有看到直接打瘫的
    lslqtz
        45
    lslqtz  
       2016-05-28 18:38:40 +08:00   ❤️ 1
    @inter 真那么低都去干了。
    Austing
        46
    Austing  
       2016-05-28 21:34:58 +08:00
    @inter 不黑洞的前提下,如果有流量的話攔截與不攔截收到的流量有變化嗎? ISP 最後的結算費用又不會發生改變.
    直接 Null 路由和你直接丟掉 UDP 結果根本是兩種。
    如果說您是要在整條路由都丟掉那麼麻煩提供一個實例,包括如何影響非自有上級 AS(如 4134)路由器。謝謝。
    Austing
        47
    Austing  
       2016-05-28 21:45:14 +08:00
    @lslqtz 就拿電信說,不考慮流量丟失的情況下
    Attack---10Gbps----*****----AS4134(10Gbps)----機房(10Gbps)----丟棄攻擊包
    Attack---10Gbps----*****----AS4134(10Gbps)----機房(10Gbps)----用戶(10Gbps)。
    從機房開始丟棄的話這對機房來說有何區別?這部分的錢誰來出?問題就在於,如果為本級路由清洗,那麼這個流量是它要承擔的好吧,機房要把成本降到最低只有電信清洗 /空路由兩種選擇,第一種顯然不現實。
    Austing
        48
    Austing  
       2016-05-28 21:45:25 +08:00
    @lslqtz 呃。不好意思,抱歉抱歉,圈錯了_(:з」∠)_
    superxzr
        49
    superxzr  
       2016-05-28 22:16:41 +08:00
    @inter 首先, UDP 协议本身就不关注是否有响应,这一点和 TCP 不一样。那么问题来了,假设你家房子被我倒了几万吨的水,我用得着在乎你有什么想法吗?不,因为你房子已经被淹了,你的房子会挡回多少水(回包)我不在乎
    就算你不开 UDP 我还是能打进去就是这种道理,因为我流量可以到你机器上,光缆不会去想里面传输的数据是什么协议,只会很老实的传输然后带宽满后就堵塞了。

    然后你说从路由上拦截,这个对于运营商来说拦不拦只是看你给了钱没,他们付出的代价是一样的。
    所以说最好的办法是直接把攻击源机器一脚踢爆。
    lslqtz
        50
    lslqtz  
       2016-05-28 23:39:18 +08:00
    @superxzr 赞同,在路由过滤还是收得到包。。最好的办法是阿里云拿大流量把攻击源机器打爆 hhhh 。
    inter
        51
    inter  
       2016-05-29 20:42:52 +08:00   ❤️ 1
    @Austing
    @superxzr 你们俩这是站在服务提供商的角度,非得讨论这个流量成本算谁的。站长真正在乎的是这个问题么?
    我说的是,服务提供商应该应该对于明显有问题易于拦截的 dos 请求予以拦截.你拦截了之后按流量算钱就好了,而不是直接干掉用户站点。
    再次和你俩尤其是 @Austing 强调一遍,讨论的问题不是流量算谁的钱的事情,别在这个问题上反复纠缠了。
    stevenkang
        52
    stevenkang  
       2016-05-29 21:53:55 +08:00   ❤️ 1
    使用 CDN 隐藏源站 IP 就不会被 DDoS 了,不要问我为什么,因为前两天才被 D 过,也是阿里云服务器。
    Austing
        53
    Austing  
       2016-05-30 03:00:48 +08:00   ❤️ 1
    @inter "有畸形特征的直接清洗掉不就行了,可以不算在用户身上呀",這句話不是你說的?不知道是我理解有問題還是?而且我也不想撕,攔截掉有啊,高防 IP ,所謂你所說的先攔截掉後付費在大陸就根本不可能。我是服務商我憑什麼冒這個風險先承擔一部分流量給你攔截?然後我怎麼知道你是不是要付費?記住,這是在大陸。從國人玩壞多少國外商家來看,沒有人冒風險做面向大眾後付費。就這樣了,我也懶得回復了。
    superxzr
        54
    superxzr  
       2016-05-30 07:27:03 +08:00   ❤️ 1
    @inter 那么所有站长应该自己购买昂贵的清洗设备并部署在路由上,谢谢。我也不多说,设备成本自己算吧
    skylancer
        55
    skylancer  
       2016-05-30 08:25:33 +08:00 via iPhone   ❤️ 1
    @inter "你们俩这是站在服务提供商的角度,非得讨论这个流量成本算谁的。站长真正在乎的是这个问题么? "
    拜托,哪个商家会做这种明显的慈善生意
    真是搞笑
    skylancer
        56
    skylancer  
       2016-05-30 08:33:11 +08:00 via iPhone   ❤️ 1
    @inter 另外你有做过生意吗? 你认为服务商直接清洗掉流量再给用户个账单用户会接受吗?
    假设你是商家,你直接替用户清洗了流量然后给用户个账单,用户不接受叫你给出受到攻击的证据,你怎么回答? 然后,假设用户受到了数百 Gbps 的攻击(这个年代 DrDOS 的成本很低的谢谢),不 null route ,请问你是否承担这个流量钱,另外,你了解在这期间所要付出的费用吗

    真是太会想当然了
    利申 并不用阿里云
    inter
        57
    inter  
       2016-05-30 11:02:38 +08:00   ❤️ 1
    @Austing
    @superxzr
    @skylancer 算了,本来不想提别的的,但你们也忒想当然了。看看 azure 对 dos 的处理吧,免费的防 ddos 。
    讨论根本不是一个层面的,你们说的是底层技术,我说的是用户体验
    superxzr
        58
    superxzr  
       2016-05-30 12:40:36 +08:00   ❤️ 1
    @inter 笑死, Azure 国内流入算钱,我用了快两年 Azure ,国内被揍过十几次了,总量加起来 70 、 80TB 肯定是有的,我出了多少钱? 也就海外流入免费,不 NULL IP 而已,再说了海外的 VM 又不是没被揍死过
    skylancer
        59
    skylancer  
       2016-05-30 23:30:22 +08:00 via iPhone
    @inter 卧槽你真用过 aws 吗,不如我给你来一波国内源攻击然后你看看收到什么账单怎样
    abel163
        60
    abel163  
       2016-05-31 14:05:36 +08:00
    老实的用高防服务器吧,现在市面上的高防 40g 防御价格再 600 左右,
    ragnaroks
        61
    ragnaroks  
    OP
       2016-06-08 20:43:14 +08:00
    几天没上这么多回复了,
    目前的做法是打回去了,对面好像瘫了,
    同时我们也换了个 ip 上了个百度云减速专业版,
    截止至现在没有异常了.
    wangxiaoer
        62
    wangxiaoer  
       2016-08-11 15:18:06 +08:00
    @stevenkang :

    使用 CDN 隐藏源站 IP 就不会被 DDoS 了,不要问我为什么,因为前两天才被 D 过,也是阿里云服务器。

    一般只是纯静态资源加速,如果需要用 cdn 抗 ddos 的话,相当于整站加速了吧?
    stevenkang
        63
    stevenkang  
       2016-09-22 12:45:26 +08:00
    @wangxiaoer 就是整站加速,被攻击的时候只有单个节点会挂掉
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1195 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 18:14 · PVG 02:14 · LAX 11:14 · JFK 14:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.