如果遇到 DDOS,有没有一些低成本的解决方案呢?有些服务并不能用 CDN,因为是长连接

2021-03-14 16:05:12 +08:00
 PUBG98k
原文:
https://bbs.todesk.com/thread-1011-1-1.html

ToDesk 遭受 DDOS 攻击声明

ToDesk 用户中心服务器于 2021-03-13 21:44 遭受到不法分子的 DDOS 流量攻击, 导致近 200 万用户, 长达 12 小时用户无法正常使用。
我们已联合 UCloud 做报警处理,相关证据已经提交给公安,尽快将不法分子缉拿归案,并不惜一切代价追查到底、揪出幕后黑手。

在此,有趣科技声明以下:

1 、 对此次攻击给各位用户带来的不便,深表歉意。我们将不断升级网络的安全防范措施,为大家提供稳定的使用环境。
2 、 此次攻击为 DDOS 服务器定向攻击,并不是黑客入侵,用户数据无异常。
3 、 有趣科技严厉谴责发动此次有组织、有计划 DDOS 攻击的组织或个人,我们会配合公安部将此事追查到底。同时也警告攻击我们的团伙,
不要为了蝇头小利而成为别人的牺牲品,DDOS 攻击的行为已涉嫌触犯“故意制作、传播计算机病毒等破坏性程序犯罪”、“非法侵入计算机信息系统罪”、
“非法控制计算机信息系统罪”和“破坏计算机信息系统罪”等刑事犯罪,应当承担刑事责任,触犯法律必将受到法律的严厉制裁。

海南有趣科技有限公司 2021-03-14
3455 次点击
所在节点    问与答
42 条回复
PUBG98k
2021-03-15 01:36:03 +08:00
再补充一个常见的,
机房屏蔽 udp 包.
djoiwhud
2021-03-15 02:37:27 +08:00
@PUBG98k
首先,不是注册用户也可以做分级。我完全不需要看你的产品,何况你又没给我钱,我没任何理由看你的产品。ddos 绝大多数都是同业攻击和勒索求财。这样的事都是外包给别人搞的。有观察者的角色在抓包分析流量的走向和连接的服务器地址。你不能按 ip 或者设备 id 或者是浏览器签名来固定分配到同一个 slb 或者高防节点么?显然可以。

也许,你查了一点点 ddos 的皮毛内容。但是你不清楚 ddos 的行业内幕。你的这个需求真的很简单。
PUBG98k
2021-03-15 03:05:08 +08:00
@djoiwhud 10 年前我就对 DDOS 非常熟悉了好吗?不知道是你皮毛还是我皮毛
有必要杠吗?
我用了近 10 个不同地区的节点做析转发.全死了.有用吗?
还根据不同的用户 IP,或者设备分配不同的 SLB.你能弄几个?你能藏几个别人分析不出来哦.
随便找几个不同的电脑或者地区的电脑抓下包就全出来了.有意义吗?
要不,200 万用户,每个用户分配一个节点最好了.买 200 万个节点如何?这样绝对死不了.
请你看好标题,再来杠行吗?
PUBG98k
2021-03-15 03:13:31 +08:00
10 年前我就参与开发过 IIS CC 防护软件,Windows 的防 DDOS 防火墙软件,类似 傲盾防火墙
你真的是喜欢杠.显得自己很 皮毛好吧

我发帖的目的是 看看这里大佬那么多,有没有一些想不到的,奇淫技巧,而不是传统的砸钱.
@djoiwhud
LeeReamond
2021-03-15 03:35:58 +08:00
用户量 200 万很大规模的服务了,50gps 的 ddos 流量也很大,楼上说很简单的也不知道是什么大佬,放个自己产品给大家欣赏欣赏吧
PUBG98k
2021-03-15 03:39:12 +08:00
其实好好讨论问题是可以的 ,但是一上来,什么也不看就直接喷 问这种问题的公司肯定做不起来.


@LeeReamond
实际用户近 800w,实时在线近 200w
msg7086
2021-03-15 05:31:50 +08:00
要是 DDoS 能低成本解决,那人家还 d 你干啥。
不就是因为低成本难解决所以才用这种办法打你么?
loukky
2021-03-15 05:33:56 +08:00
todesk 这么好像还免费的工具,还被 DDoS 有些人真是畜生
blueboyggh
2021-03-15 05:39:27 +08:00
@loukky 越是这样的产品,越容易被一些传统垄断厂商盯上,毕竟抢了市场,一个用户就是一笔钱啊
MakeItGreat
2021-03-15 07:50:01 +08:00
我怀疑这个攻击和在这个节点打广告的那位有关系
alfchin
2021-03-15 07:56:49 +08:00
@PUBG98k 再被 ddos 个一周两周看你的用户还剩多少。
要解决就找团队改架构去吧。
fiypig
2021-03-15 08:12:26 +08:00
能被 ddos 的产品, 应该是还不错的产品了吧, 这样的话还考虑低成本?
CallMeReznov
2021-03-15 08:35:27 +08:00
没有,只能硬抗.
djoiwhud
2021-03-15 09:22:37 +08:00
既然你说自己是在 ddos 领域很专业的,那你发帖的目的何在,炫耀自己的专业性?

部分用户服务降级不是很常见的折中么。例如把用户分 10 类,还可以按接口访问规律细化出疑似观察哨,观察哨一般不会提交真实的数据,就算不做细分处理攻击观察者所影响的用户群体也只是 1/10 。

这需要你每个人分一个代理节点不?我只看到我说的很常见的处理策略,你自己在杠。
ch2
2021-03-15 12:01:31 +08:00
每个防御方法,对方都有低成本进攻的应对措施
dqzcwxb
2021-03-15 12:13:59 +08:00
请求时鉴权,请求后拉黑
todesk 貌似都做不到,那只能怂或者硬刚了
sggggy
2021-03-15 12:33:56 +08:00
看了下 lz 的方案,意思是想实现在不堆资源这种“传统模式”下实现 DDos 防御,以及自己对 DDos 防御的方案有深刻的了解。

我建议是从攻击者的角度去思考如何有效率的跨越上述方案。攻击之前先做功课,探源站 IP,探盾,博弈,看对方的高防是买个乞丐版,还是保底,还是氪金拉满。如果保底,保底防御带宽多少,只要压过了,对方就会崩,不要过量,以此类推。

思考攻击者的目的是什么,收了钱来给别人消灾,还是有发送邮件勒索,多少都是有目的性的。

自身经验,游戏行业被打 10 年,对原理没什么深刻理解也不是很想去深究,但一年至少被揍 2 次,有时候是野路子吃饱没事干,就是想搞你,大部分情况是一个什么 ACCN 的黑客组织,每年打一下,年底还要威胁续保护费,不然明年继续打。

我厂人少,也不是很想花时间在和黑客博弈上面,采取的思路也比较简单——无论如何都不能让业务受到影响,不谈判:
1. 过滤掉 CDN,其他所有业务必然是套着盾才能上线,真实 IP 不能暴露。
2. CNAME 解析,可以直接看到返回域名是类似 aliyunddos 什么的,明确告知攻击尝试者,我们有做加固,想攻击的话,需要评估攻击成本和收益。
3. 自己浅显的理解是,应对分布式攻击需要有分布式防御方案,阿里的有是有,就是太贵了,所以现在还是用传统高防。

没啥技术含量,但好用,玩家不掉线,业务不中断,价格小贵,但比起损失来说,不值一提。
fangpeishi
2021-03-15 12:43:52 +08:00
1.峰值 50g,不算大。用 aws cn 的 basic shield 做代理免费抗一下 3 层 /4 层。
2.阿里云全站加速,有 IP 加速服务,不知道是否适合楼主的业务。
3. 长远一点,客户端埋一个 websocket 代理,紧急情况降级到 cdn 走 websocket 。
lupus721
2021-03-15 12:57:01 +08:00
ddos 是很深的坑,各种问题,不同应对策略,最简单的,买阿里腾讯的高防 ip,基本收费都不便宜,按照用量算。好像几百 G 的都是没问题的,就是费用好像也惊人。

自己做过一个服务器,最简单的 iptable 连接数过多的直接 ban,最后触发了 iptable 的上线,6w 多条吧。。。后来换了策略,好像是 ip 掩码往大的调了,让条目数变少。后来感觉防御住了,但是对方小包峰值 28wpps,机房不干了,直接给我下线了。

严重的攻击感觉还是要靠专业的团队去处理一部分,当然自己设计的时候也尽量避免问题。综合性问题很难有简单的处理方案。
PUBG98k
2021-03-15 16:10:09 +08:00
其实,也是想到了,花钱上高防等切换策略.
但是确实觉得,有点小贵~因为一年到头也 D 不了几次.
但是长期付费保护,太亏

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/761518

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX