您采取了哪些技术措施来最小化 DDOS 攻击的可能性?

2020-09-22 15:40:51 +08:00
 lidongyo

来自甲方的问卷~

请问各位 v 神,这个该如何回答…… 使用 CDN 隐藏真实 IP 吗~

5177 次点击
所在节点    信息安全
28 条回复
xyijmn
2020-09-22 16:01:11 +08:00
难道不是上高防服务器吗
qq292382270
2020-09-22 16:02:23 +08:00
高防服务器 反向代理 高防 ip cdn
zhenjiangidc
2020-09-22 16:03:17 +08:00
做了 7 年的 IDC,这么说吧没有哪家机房能保证抗住 DDOS 攻击,, 别人想搞你, 有各种办法,不一定 DDOS 攻击呀,,
问一下你相同 IP 段机房的服务器, 开一台, 内网爆破一下, 要啥 ,啥都有了,,


V 15052937502 q 2055578652
CallMeReznov
2020-09-22 16:15:24 +08:00
我原来做游戏运维的时候,服务器是单体架构的,直面所有流量,接到就死。
为了应对攻击这个做了以下的操作
有钱先上高防,让专业的团队和设备帮你洗一遍流量,和攻击者比成本,你花 1000 买流量,我花 1W 上高防也不能给你 1 毛钱。
动态发包模拟业务登录的就动态防火墙黑名单。
在游戏登陆器里加入 knockport 程序,操作某个步骤后才允许客户端 IP 连接服务器端口。
游戏端的问题解决了他们就开始撞库,游戏主页的登录接口一直有各种垃圾请求。
就算用 nginx 过滤还是免不了有流量过来,所以我直接用暴力的方式排序,1 分钟内重复请求接口超过一定次数就直接黑名单。


以上操作搞定以后。数据库炸了,多次向老板提意见,和开发沟通也不解决,心累离职。



如果是网页的话就 CDN,根据日志过滤动态添加防火墙黑名单。
我收藏的几个
http://qiaomiao.blog.51cto.com/484197/1839337
https://www.yunloc.com/167.html


现在做的工作接触不到定向的恶意攻击(也不敢),所以当咸鱼好久了。。
singerll
2020-09-22 16:15:28 +08:00
断网
opengps
2020-09-22 16:23:30 +08:00
ddos 防御的本质其实是硬抗,首先你骨干带宽足够大,真假访问都抗住(所以不存在打不死的机房),然后才能有机会清洗,然后清洗后的流量到达服务器(必然存在误杀的链接)
cdn 隐藏真实 ip 是很基础的防御办法
动态更换 ip,更换域名,让攻击中的一部分失效,也是个敌我都损失的应急方案
northlov
2020-09-22 17:21:33 +08:00
web 相关的话,有钱就上一些商业防火墙,比如阿里云、腾讯云的 WAF,在 IP 层就会过滤掉一些,毕竟他们自己有大数据分析 IP 能力等等。还有没过滤的基本就是硬抗了吧 吃掉 DDOS 的带宽,服务器、带宽等动态扩充方案。把 12306 抢票的用户想成 DDOS 肉鸡,一个道理 哈哈哈哈哈。。。。
wafm
2020-09-22 17:36:06 +08:00
其实隐藏真实 IP 就是最有效的,前端打死了就切换,跟现在的大多数游戏高防盾一个道理。
chiuan
2020-09-22 17:38:29 +08:00
@CallMeReznov 是不是发现你折腾了一通。。。。没啥用
westoy
2020-09-22 17:41:21 +08:00
夹紧尾巴做站

不去任何和技术 /黑客 /空间域名 /网赚的社区露站

也不和上述网站发生交叉链接

不仅能防攻击还能防采集
mxT52CRuqR6o5
2020-09-22 17:47:46 +08:00
感觉藏得住 ip 是最有效的方法
importPandora
2020-09-22 17:50:33 +08:00
关机
CallMeReznov
2020-09-22 17:51:14 +08:00
@chiuan #9 有效果啊,但是用鲁迅先生的一句话“治病救不了中国人” 。
整那么多业务承载不了快速的发展,老板都不吱声我咋办呢。
djoiwhud
2020-09-22 18:05:36 +08:00
1 、高防,比较贵。但是稳定性并不高,流量清洗策略难免干掉一些正常的用户。
2 、多线分流,比较便宜。如果 IP 池很多,理论上是打不死的。
3 、正常的时候分流,遇攻击全站高防。

有些做勒索的攻击者,会盯着比较脆弱的系统持续攻击,直到被攻击者交钱或者攻击者被抓。方案 3 是比较合理的。IP 池比较多的系统,可以找到攻击者的 IP 。

多使用 CDN 。DDOS 攻击者一般看到 CDN 的地址会跳过,毕竟能做 CDN 的都是大厂,影响大厂的后果比较严重。
iColdCat
2020-09-22 18:11:47 +08:00
@singerll 真实有效
apple998
2020-09-22 18:35:11 +08:00
一般用了 cdn 的都不会搞你;成本比较大
MakeItGreat
2020-09-22 19:25:06 +08:00
@CallMeReznov 能说说不给钱的原因吗?是有教训吗?
CallMeReznov
2020-09-22 20:03:02 +08:00
@MakeItGreat #17 你说攻击?
勒索你的人,看到你你软了第一次,肯定会有第二次,第三次的,你就成了提款机了.
宁愿扛一次狠的,也不能让他们天天来捣乱.
这次他们知道这骨头难啃下次就不会来找你了.
xuanbg
2020-09-22 20:10:47 +08:00
别想 P 吃了……对抗 DDOS 唯一有效的做法就是花钱清洗非法流量,包括但不限于购买高防 IP 、CDN 等等。
dedemao
2020-09-22 21:13:28 +08:00
建议看看阮一峰大神的这篇博客: http://www.ruanyifeng.com/blog/2018/06/ddos.html,写的很全了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/709447

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX