STUN (webrtc) 服务有啥好的 DDOS 防御方案吗?

292 天前
 newshbb
2306 次点击
所在节点    程序员
24 条回复
kkk9
292 天前
😅对付 dd 的解决方案主要都是烧钱,烧钱,还是 TMD 烧钱。(或者像南山必胜客从各种渠道掌握证据直接上门送礼)
huahsiung
292 天前
udp 源 IP 可以伪造。彻底解决只能上硬件防火墙。
huahsiung
292 天前
tcp 可以用状态防火墙过滤大部分,防护起来的成本比 udp 少很多。udp 是无状态的,只能从分析数据包来防御。
xsen
292 天前
STUN 禁掉 UDP 、只允许 TCP
newshbb
292 天前
@huahsiung 请问有什么 ddos 厂商可以搞定吗?像 cloudflare
huahsiung
292 天前
@newshbb 面向国外的话国外的高防机器比较多,价格也不是很离谱。cloudflare 也有类似的 Spectrum ,Magic Transit 。

面向国内的话,高防 IP 价格比较离谱。可以去找有高防的机房,这个比找高防服务器便宜很多。

另外也可以看看百度云加速( Cloudflare 的国内前妻 [已离婚] ),京东云星盾( Cloudflare 的国内现妻 [在婚状态] )。
他们都有部分 Cloudflare 的技术。
j4fun
292 天前
tcp 和 udp 的 nat 类型不一定一样啊=。=
dhb233
291 天前
攻击最多的就是游戏,一般都是商业上的竞争。要么就是硬抗(花钱买高防),要么就想法隐藏自己,给攻击增加难度(一般攻击都是买的攻击流量,不会有很高明的手法)。
flyqie
291 天前
STUN 实在不行就用公共服务器吧。

turn 没办法,只能标准防护。
iqoo
291 天前
不能完全防住,但有缓解的方案。比如使用动态端口,前后端使用约定的算法,根据当前时间计算出端口号,并且端口白名单在云防火墙上设置,这样不符合的数据包直接被云防火墙过滤,不占入带宽/入流量。

同样的思路,还可以用敲门数据包,而且 webrtc 可以预先发一个带自定义数据的敲门 UDP 包(比如 https://github.com/EtherDream/js-port-knocking )用于认证。

前端用 js/wasm 做好算法的混淆,可以过滤中小规模的垃圾流量。当然大流量直接把 IP 打进运营商黑洞的,那是无解的。
leaflxh
291 天前
国内找高防机房,镇江 枣庄 武汉 徐州很多地方都有,几百到几千一月,比阿里便宜,但效果不确定,没用过
dmanbu
291 天前
除了流量清洗,没啥好方案
newshbb
291 天前
@iqoo 我的客户端是开源的,很难搞
newshbb
291 天前
@huahsiung 我们是面向国外,没想到 ddos 来的这么快
newshbb
291 天前
@flyqie 我们不是标准 STUN ,我们是自己写的
fuckfaker
291 天前
饿,之前自己用 ebpf+xdp 框架写了个 ddos 防御的工具,简单粗暴,某 ip 连接频率超过阈值,直接在 xdp 那里把所有的网络请求全部丢弃
dhb233
291 天前
@fuckfaker DDoS 都是直接带宽打满,根本不给你清洗的机会。主机上看到的那点流量,已经是丢了很多包的,网络已经不可用了。。
dhb233
291 天前
@newshbb 国外的攻击更多,有些面向国内提供服务的,可以封禁所有国外网段,高防都提供这种清洗方式。你如果是面向国外提供服务,那这种方式都没用了。

基本上是打几天 UDP 反射放大攻击,一般都是几百 G 的攻击,如果防不住,就一直打。如果防住了,就改用肉鸡打 4 层或者 7 层的攻击,如果再抗住了,他们也会歇几天
newshbb
291 天前
@dhb233 我这里还没有把带宽打满的程度,更像是肉鸡,所有流量都是伪装成正常流量,只是消息频率比正常的高一些,客户端是开源的,攻击者很明显是看了源代码写的攻击软件。我已经清洗几万个 ip ,然后丢到 nfttables 的 ipset 里,现在情况好了点
newshbb
291 天前
@fuckfaker 我现在还是用 nftables 的 ipset 来搞,也想写 ebpf+xdp ,能够有开源推荐吗?演示代码也可以

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1014049

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX