通过后端代码判断屏蔽恶意请求来对抗 DDOS 攻击有用吗?

2022-07-17 23:52:28 +08:00
 cokar

假设我可能遇到一场普通的 DDOS 攻击,攻击流量大概 30~60G ,阿里云服务器默认只保护 5G 流量,超过的就打不开了,基本上一打就死。一般要防御都是上高防 IP ,那样费用也很高。

如果我采用 web 后端代码,通过自己的一些算法能识别出非法请求,然后对非法请求响应空内容,这样能起到防御 DDOS 的作用吗?

因为我响应内容为空,就算加上响应 header 里有一点数据,也不会有多少响应流量,相比正常的网页应该大大减少了响应的流量,这样我就能应对更大的流量攻击。我这样分析对吗?

2278 次点击
所在节点    服务器
16 条回复
geeglo
2022-07-17 23:58:44 +08:00
完全没用。
learningman
2022-07-18 00:01:43 +08:00
你这防的是 CC ,DDoS 进来路由器都崩了
y830CAa5nink4rUQ
2022-07-18 00:08:41 +08:00
进来的流量超过 5Gbps ,阿里云直接把你网络断开了,你服务器接收到的请求数量是 0 ,你识别个啥?
x86
2022-07-18 00:13:22 +08:00
能防住 DDOS 只有加钱
Inn0Vat10n
2022-07-18 00:16:57 +08:00
ddos 和你咋响应没关系,都没到应用层
Aloento
2022-07-18 00:19:28 +08:00
DDOS 请加钱清洗流量
westoy
2022-07-18 00:25:03 +08:00
完全没用, 就算关机一样能把被攻击目标和被攻击目标的邻居一起打爆
djoiwhud
2022-07-18 00:30:06 +08:00
没用。

d 防护只有两个办法

1.用钱解决
2.狡兔三窟
ashine
2022-07-18 00:31:28 +08:00
ddos 打的流量靠的是进入的方向,和你网站响应的出流量完全没关系,因为 http 的先天特性,网站是没办法拒绝进来的流量的
cheng6563
2022-07-18 09:20:39 +08:00
直接把境外 IP 全 ban 了
cokar
2022-07-18 14:28:16 +08:00
我看下网上有的说 Nginx 做一些设置或安装相应模块可以应对 DDOS ,实际上是不是也没啥用?
xlh001
2022-07-18 14:29:56 +08:00
没有用的,你入口网络量一到限制就直接进行黑洞了,流量压根都不会到机器上
killva4624
2022-07-18 14:31:05 +08:00
没用,楼主想的是在应用层做处理,但实际上在网络层就直接把你资源打挂了。
比如最近有恶意客户总想来西点店询问油条多少钱,楼主的想法是让前台学会分辨,一但不是开卖西点的就不管。实际上恶意客户会把你的整个门店甚至门店周围两条街都塞满人,哪怕你的前台再聪明能分辨,也无济于事。
LLaMA2
2022-07-18 15:50:34 +08:00
@cokar
他们说的都对,可是这些词汇对于您来说可能不太明白,那么,就让我讲一些简单的吧。
您可能有听过禁 ping 来保护安全,OK ,这完全没问题,那么服务器断禁 ping 了,别人 ping 您的
服务器,从他那里发出来的 ping 数据包难道就不存在了吗?很显然,他事先也不知道您的服务器
这边能不能 ping 通,所以数据包必然会经过层层的网络设备(他的电脑->他的光猫->ISP 的各级网络设备....->您服务器的机房入口网络设备->服务器所在机柜的网络设备->您的服务器)
你看,你仅仅是在您的服务器这里设定了一些规则,很显然其他的网络设备完全没有其他限制啊,那么这个数据包就以上的说法来看,必然会到达您服务器所在的机柜上那个网络设备(也许他是一台交换机)。
假设这台交换机能承载 10G 的网络流量,即便您机房的网络带宽可能高达 9999999G 的网络带宽(哪有这么大的呢!),如果别人能打出大于 10G 的流量,你的机柜交换机就要罢工了,这时候你服务器完全 OK ,CPU 、IO 占用率可能是 2%,可上层网络罢工,你再好也没法和外面交流啊。我亲爱的 OP ,这下,您应该有一些一知半解了吧。
cokar
2022-09-11 21:34:47 +08:00
@ye4tar 非常感谢你的解答,了解了
idc906
2023-08-15 15:18:09 +08:00
流量一进来阿里云就给拉黑洞了,都进入不到你的服务器,我这边是做安全的,阿里的带宽比较贵,所以他们防 DDOS 成本也高的,如果还有遇到攻击的问题,可以试试我们的,好用不贵可以测试 微 idc906

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/866863

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX