在不购买阿里云高仿 ddos 服务的基础下如何优化 ecs 尽可能的减轻 ddos 的攻击效果保证网站运行正常呢?

2016-02-12 00:34:54 +08:00
 konakona
是酱紫的,这几天过节估计是竞争对手派来的。
攻击一台服务器,造成了 10 分钟左右 2G 的攻击量,阿里云发了封邮件,大致意思是:遭到了 DDOS 攻击,一经关闭该主机的任何访问请求 40 分钟。

40 分钟啊!你主动关闭 40 分钟啊!!!=。= 好在是淡季……

看了下阿里云的高仿 DDOS 报价: https://help.aliyun.com/knowledge_detail/5975209.html?spm=5176.1538802.4.3.qRmQZy

16800 元 /月 防范 20g ,真的不是一般企业接受得了的技术成本啊。而且并不是经常有 DDOS ,为防患于未然,想请问下大家以下主机配备大家一般是如何降低 DDOS 的攻击效果以保证网站运行正常的呢?


CPU : 2 核
内存: 4096 MB
操作系统: CentOS 6.3 64 位
带宽计费方式: 按固定带宽
当前使用带宽: 带宽: 5Mbps

apache2.2
php5.4

服务器运行 1-2 个站。 CPU 使用率 1 ~ 2%。搭配 rds ,所以本机 mysql 已关闭。

我打算 14 号上班研究下 iptables 。
5470 次点击
所在节点    云计算
17 条回复
Septembers
2016-02-12 01:38:16 +08:00
DDoS 是一个无解的问题
jiongjionger
2016-02-12 01:56:01 +08:00
流量攻击你研究软件防火墙( iptables )没有任何用。进黑洞后流量直接截断。
现在 IP 已经暴露。建议换 IP 后使用一些带防御的 CDN 。例如数字的,免费的可以防御 20Gbps 左右。
em70
2016-02-12 09:33:14 +08:00
阿里云可以临时升级带宽,比如今晚 20-23 点带宽临时增加 50M ,也就几十元,对方攻击成本比你高,一旦没效果就放弃了
litianyou
2016-02-12 09:55:40 +08:00
@Septembers +1 ;
@em70 +1 ;
不知道你的计费方式可不可以换一下?如果换成按使用流量计费,带宽高一些,会不会 DDOS 的费用比你流量费还要多呢?
如果公司网站可以静态而且比较小的话,不如搞在 Github 上
Showfom
2016-02-12 11:10:20 +08:00
其实想说要能 24 小时防御 20G 攻击 这个价格很便宜了
Yamade
2016-02-12 11:28:06 +08:00
换 cdn 不行么
konakona
2016-02-12 12:08:42 +08:00
@jiongjionger 谢谢,我试试。
CzyAer
2016-02-12 12:15:35 +08:00
额. 比如 DDOS,
可以根据目标执行多种攻击方式,
你有 CDN,我可以通过损耗资源来打打网站,也就是 CC 攻击
没有 CDN,我可以通过流量来打,流量打不死,我就换包体,
你可以这样,某一个 IP 每秒超过 5000 包,直接禁掉,通过 iptables
另外,如果你是备案站的话,你可以上国外高防,加大数字网站卫士,绝对 OK!
自己在稍微处理一下,一般 DDOS 能抗住!


http://i11.tietuku.com/c351917095f808e2.png
http://i11.tietuku.com/b0d286e17c00e55a.png
http://i11.tietuku.com/8b7d438281c7b391.png
http://i11.tietuku.com/7314147f71124851.png


这是我昨晚测试的效果,
峰值的时候
每秒打出接近 100gbps 的流量.
每秒打出 10MPPS 的包数.

1MPPS=每秒 100W
rhwood
2016-02-12 13:50:39 +08:00
别做无用功了,重要的事情只有 1 个:
不要暴露你数据服务器的真实 ip--》已经暴露了就迁移数据--》前面上 cdn--》预算有限可以 varnish/nginx/haproxy 自建--》 cdn 节点选择提供防 ddos 的服务的机房,顶不住就换下一个。
konakona
2016-02-12 14:31:43 +08:00
@rhwood
@CzyAer
感谢 2 位的数据参考和意见。
我刚发了个工单问了下阿里云,是 500mb ~ 5gb 的流量就会关闭服务器任何请求 20 ~ 120 分钟,不可解除,要加入安全联盟才能获得 10gb 的防护能力。

所以我在研究买个新的 ip 、弄上阿里云的 cdn 。

@rhwood 想问下你做测试的时候用的是什么工具,我是 osx 。我自己也想动手试试抗击能力。
CzyAer
2016-02-12 15:43:46 +08:00
杭州机房超过 5G 会触发黑洞
青岛服务器流量超过 5G 会触发黑洞
北京服务器流量超过 1G 会触发黑洞
深圳机房流量超过 2G 触发黑洞
香港机房流量超过 500M 触发黑洞

部分地区可以 5.2g
这是我去年夏天实测的 自己每个节点的开了一台机器,然后自己去 ddos 自己的 ip 实际测试出来的.
mytsing520
2016-02-12 17:52:29 +08:00
阿里云负载均衡 SLB ,前后端内网转发。。
静态资源走 CDN 或阿里云 OSS
了事
C2Cloud
2016-02-13 09:12:03 +08:00
@CzyAer
@konakona
1. 100Gbps / 10Mpps 明显 UDP 类型的大包攻击,其实针对这种攻击,运营商级别防护起来很轻松,有带宽和设备就 OK ,有时候甚至不需要专业的流量清洗设备介入即可解决这类型的攻击(Cisco 和 Huawei 的高端 SW 都有报文长度和大小限制来丢弃这类攻击报文)

2. 超过 100Gbps 的攻击在近目的地清洗都是耍流氓

3. iptables 还是在系统 Kernel 级别,一个报文要几次 Copy 都不知道,这效率不要被 iptables 拖死已经很好了,有种东西叫做 User Space I/O

4. CDN 这类防护缺点很多,尤其是国内的 CDN 防护,弱点太多,从 DNS 到 Bypass CDN 都可以轻松的干掉被保护的源

5. 建议楼主使用专业的 MssP 级别的安全服务提供商
bobopu
2016-02-13 13:12:51 +08:00
加入阿里云安全联盟,可提升至 7 到 10G
inter
2016-02-14 17:29:51 +08:00
@CzyAer 是 udp 包超了就黑洞?不管端口开不开?
hack520
2016-02-15 00:03:33 +08:00
樓主準備足夠票子吧..
honeypot
2016-02-15 10:21:20 +08:00
建议上 CDN ,如果攻击流量比较小,那么可以扛住,但是可能对部分地区的用户造成影响。
如果想有比较好的防攻击体验,建议购买高防。购买高防会更换 ECS 的 IP ,把真实 IP 隐藏起来,对外只有高防 IP 可见,这样效果最好。

目前阿里云 ECS 服务器被攻击流量触发黑洞的机制如下:
杭州机房超过 5G 会触发黑洞
青岛服务器流量超过 5G 会触发黑洞
北京服务器流量超过 2G 会触发黑洞
深圳机房流量超过 2G 触发黑洞
香港机房流量超过 500M 触发黑洞。

如果您想要提升服务器的防御量,可以免费加入安全信誉联盟帮您防御一定的攻击。
加入安全信誉联盟: https://yundun.console.aliyun.com/#/buyService/ddos
安全信誉联盟介绍: https://help.aliyun.com/knowledge_detail/7602991.html

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/256145

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX