请教 云厂商 DDOS 防护的问题

2022-05-24 21:41:21 +08:00
 inSpring

今天一台云服务器被 DDOS 攻击,攻击带宽峰值 1.8G ,云厂商提供的基础防御是 2G 。

看报告里显示的攻击时间是从 10:14~12:39 。

在 11:00 - 12:00 这段时间陆续有用户反馈网站无法打开,在这个时间自己也测试了,确实 ssh 连接不上服务器,登录不上去。

攻击停止后,有个疑问:攻击带宽峰值没有达到基础防御的 2G 。为啥中间一段时间服务器无法访问?

咨询了云厂商技术支持客服,对话如下:

Q: 今天上午服务器被攻击,带宽峰值是 1.8G 但是基础防御是 2g 为啥被攻击的时候 出现服务器没法访问呢?

A: 您好,基础防御是 2g ,您今天收到的这次攻击流量为 1.8G ,防护住了,是没进行封堵的。"但是中间出现一段时间 服务器无法访问 是啥原因呢" --- 当时是因为在攻击中,所以没法访问的。

Q: 既然防护住了,为啥服务器却不能访问了? 如果我买 10g 的防御 遭受 1g 的攻击 防护住了 也会出现正常用户无法访问的情况吗?

A: 您好,您的正常请求夹杂在攻击的流量当中,这个是无法区分出来的,会被一起防护的。防护的作用是让服务器不被运营商进行封堵,不会导致攻击结束后,服务器依然不能访问的情况

Q: 这个可以理解为对流量的识别不够准确,误杀了正常用户的流量吗?

A: 进行防护是不能区分是攻击流量还是正常访问的流量的,会一起拦截的

由于对 ddos 防御技术实现上不是太了解,仍有几点疑问,特来咨询 V 站朋友:

  1. ddos 防护可以区分攻击流量和正常流量吗?

  2. ddos 防护 和 高防 ip 是什么区别?

  3. 云厂商的 ddos 防护原理是什么?

非常感谢!

2877 次点击
所在节点    云计算
8 条回复
defunct9
2022-05-24 21:50:44 +08:00
ddos 流量清洗才能防住,只是防护有可能只是扔了黑洞
linglin0924
2022-05-24 21:55:13 +08:00
你遇到的这个攻击,icmpflood ,俗称 ping 死你。 很简单的一种洪水攻击,没什么技术含量。就是短时间内激增垃圾包,塞爆带宽,迫使你的机房对 IP 空路由,减少攻击对整体网络的攻击。

ddos 防护分好几种,硬件 软件等等,都是清洗 /过滤 无用流量包的 。

高防 IP 就是被攻击的时候不会空路由,会把路由指向清洗线路。

云厂商的防 ddos 就两种加钱,要么加带宽,要么加硬件或者切线路清洗。

你这个攻击峰值 1.8G ,如果你的服务器是 2G +带宽的,还不至于一下断网。但是大部分服务器的防御都虚标,就那回事。
eason1874
2022-05-24 22:15:20 +08:00
ddos 攻击就好比有人雇了一大群人去你的门店排队,排到了他随便问几句又不买了,只要人够多,不好区分的

ddos 防护原理就是清洗流量,记录恶意请求特征和 IP 给拒绝掉,剩下的才放到源服务器。ddos 防护服务以账户或者机器为维度,支持机器或者账户下所有全部流量。高防 IP 是以 IP 为维度,只支持特定 IP 的流量

其实你遇到的 icmp 洪水特征很明显,把 ping 流量过滤掉就完事

但你这个 2Gbps 应该是服务商免费提供的防护,被攻击了只会通知运营商进行黑洞处理,不会清洗的,因为清洗意味着厂商得正常接收 1.8Gbps 流量,等于说你会长期占用人家 1.8Gbps 带宽。以商业带宽的价格,你觉得可能吗?
hanssx
2022-05-24 22:59:13 +08:00
之前也遇到过相关事件,但是没有解决,之前看过一本书《破坏之王》 DDoS 攻击与防范深度剖析,可以作为基础的了解。

现在 DDos 一般都反射,特别是 DNS 反射能放大很多,ICMP Flood 也是可以反射的。

防护是可以区分流量的,特别是在 ip 层路由的时候会对包进行 src dst 的过滤,很多时候也靠 isp 。

一般 DDos 发起攻击都是 botnet ,溯源的话需要找样本,可以看看《北京健康宝这个被 DDos 的事件》,360Netlab 实验室出的。
Zy143L
2022-05-25 10:59:29 +08:00
这个防御 只是保证这个 ddos 攻击量下 不封机
就是说 DDOS 攻击流量撤了 你服务器立刻就可以用
不至于说把你服务器直接黑洞
但是你要在 ddos 进行时还可以正常业务,那就需要 ddos 流量清洗服务了 在上游网关对 ddos 进行流量清洗
inSpring
2022-05-25 21:57:37 +08:00
非常感谢大家的解答。目前的理解是:如果要在遭遇 ddos 攻击的时候,还想不影响业务,就得买 ddos 流量清洗服务(比如高防 IP)。 云厂商免费提供的 ddos 防护, 可能只是在被攻击的时候,通知运营商黑洞处理(不清洗,不区分正常 /恶意流量),运营商黑洞处理后,流量就不再进入云厂商机房。

如果理解有误,求指正。
WGzeyu
2022-07-19 14:22:23 +08:00
@inSpring 我的腾讯云之前被打了很久,就经验来看,只要没被黑洞,一定是可以访问的,有时候稍微超出 2G 一点也能给扛下来
idc906
2023-08-15 15:43:25 +08:00
2G 的 DDOS 防护等于没有,现在哪个做攻击随便一个量打下来就是几十 G ,你这个估计是 DDOS 掺杂着 CC 攻击,CC 攻击会造成 cpu 超载,业务一样会停摆的,我是做安全的,有空可以与我交流 微 idc906

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855067

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX