cdn 厂商遭遇 ddos 攻击的时候,是如何判断某网站遭到的攻击?

2018-05-18 19:14:02 +08:00
 letitbesqzr
比如一些大厂的 cdn,在网站遭遇到攻击后,很快就会给你发警告邮件,这个是如何做到的呢,ddos 的话是直接像服务器发包,大厂的 cdn 一个节点上面肯定会有很多站,该如何区分是哪个站遭到的攻击?


个人猜想:
把可疑网站单独解析到一些特殊 ip 上,看攻击会不会迁移到某个特殊 ip 上,来区分是某个网站遭遇的 ddos。
3525 次点击
所在节点    CDN
9 条回复
caola
2018-05-18 19:19:34 +08:00
使用他的域名解析或 CNAME 他的地址,再综合哪个域名的解析请求异常增多,这就很容易找出来了
letitbesqzr
2018-05-18 19:22:11 +08:00
@caola #1 使用大批肉鸡发起的 ddos 的话,这样的确可以找到。但是也有那种有小量几台 g 口的发包服务器,这样解析请求不会有多少增加吧,这样的攻击有办法找出吗?
caola
2018-05-18 19:38:28 +08:00
@letitbesqzr 这种情况是有的,但大厂 CDN 吃素的啊,直接从路由就把它 ban 掉,如果流量超过了防御能力,还有运营商联动黑洞,从运营商级的路由 ban 掉发包 IP
letitbesqzr
2018-05-18 19:51:40 +08:00
@caola 了解,国内大厂的确挺能扛,几百 g 都能扛过去。但是遇到这种攻击就没法确定是某个站被攻击了么?能确定的话直接给他回源是否可以降低很多成本,毕竟防御成本也是挺高的,对于免费用户没必要去花那么大成本扛着吧。
kslr
2018-05-18 20:43:58 +08:00
什么鬼 不是有日志吗
LanFomalhaut
2018-05-18 20:47:09 +08:00
就攻击者角度来说 要的是 CDN 服务商知道哪个域名被打了然后回源,所以一般会打一波 CC 攻击来告知 CDN 服务商.
之后 DDOS 跟一波上来 服务商这边查起来很方便..
对于直接 D 的就分析解析日志,流量二分调度等来处理了。
letitbesqzr
2018-05-19 14:25:15 +08:00
@kslr #5 #5 cc 攻击才能在访问日志里面找到, ddos 一般走 udp,解析到域名对应的 ip 后直接向 ip 发包,无法记录来自于哪个域名。
letitbesqzr
2018-05-19 14:25:47 +08:00
@LanFomalhaut #6 #6 有道理,ddos 的时候会直接干目标,而不是和 cdn 厂商纠缠。
geekzu
2018-05-19 14:47:22 +08:00
共享 ip 被打黑洞之后,给这个 ip 上的所有网站分配单独 ip,再有 ip 被黑洞就是目标站点了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/455991

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX