一直很好奇, ddos 真的无解嘛?

2023-11-09 13:55:17 +08:00
 SillyGod

这两天 OpenAI 说被 DDOS 导致服务不行。 这么大的公司,还是全球提供服务的,都能被 DDOS 成这样。 攻击者的成本很低吗?(打成这样一天能要几万吗?) 如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢? 还有 Azure 的 ChatGPT 很稳,是因为世界上没有人可以把微软服务器 DDOS 废吗? 如果 70 亿人同时访问呢?假如 70 亿人同时访问,都不会挂,是不是地球上没有生物可以 DDOS 掉微软了?

小白不是很懂网络,一直感觉 DDOS 仿佛是个无敌的技能(除非抓住始作俑者) 求赐教。

4420 次点击
所在节点    宽带症候群
35 条回复
retanoj
2023-11-09 14:04:03 +08:00
的确不好解决
thinkm
2023-11-09 14:06:11 +08:00
DDOS 无解,只能用带宽硬扛
Lightbright
2023-11-09 14:12:08 +08:00
#全球 70 亿人访问不挂是不是就无敌了

不是的,利用一些技巧可以使攻击流量放大很多倍,能产生 200 亿人同时访问的效果

例如前几天的 rapid reset 攻击
dzdh
2023-11-09 14:12:23 +08:00
DDoS 无解。只能跟对方拼带宽。成本也没几个钱(相对看攻击的目标)
itskingname
2023-11-09 14:23:53 +08:00
每天从境内访问境外的数据流量也极其庞大,但是 GFW 却没有受到 DDoS 攻击的效果。所以应该有办法规避。
sentinelK
2023-11-09 14:40:39 +08:00
"攻击者的成本很低吗?"
相对攻击效果而言,很低。入流的 DDoS 攻击并不是肉鸡、虚拟机直接给服务器发请求这么简单。可以通过一些手段放大攻击压力。(具体方法详见互联网,恕不赘述)

"如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢?"
DDoS 预防大于防御。

“一直感觉 DDOS 仿佛是个无敌的技能”
也不是,关键看被攻击者的经营策略。如果受害者想在自身业务完全不受影响的情况下,完美防御 DDoS ,确实不现实。
EchoUtopia
2023-11-09 16:17:31 +08:00
想到一个方法可能可以缓解,可能比较天真:服务器压力大的时候,服务器每秒出若干个工作量证明题,并定时刷新和淘汰题目,服务器随机发送题目给客户端,这段时间,客户端必须发送题目 id 和答案给服务器,从而增加客户端成本。对于新建连接,客户端发起 syn 后,服务器的 ack 包含题目,第三次握手必须给出答案。这种方式也可以供服务器提供商识别自己有很多资源被当作肉鸡了。服务器没有恶意出题的目的,因为这种方式会增加客户端体验变差,不愿意去连接。
yyzh
2023-11-09 16:25:47 +08:00
@EchoUtopia DDoS 分 DD 和 CC.DD 是一大堆无用流量一起攻击,上级路由都处理不过来了那你服务器搞其他乱七八糟的全部都没用.因为首先你得能发得出去和能接收数据
nicoljiang
2023-11-09 16:28:20 +08:00
@EchoUtopia 你这个只能缓解 CC 攻击,真正的 DDoS 是分布式流量攻击。是滔天的洪水、海啸。
07212423
2023-11-09 16:28:56 +08:00
openai 应该接在 cloudflare 后面的,cloudflare 应该扛 ddos 很有经验才对
orlog
2023-11-09 16:35:14 +08:00
单纯针对网络的 ddos 攻击可以通过流量清洗减轻很大影响,因为攻击者的大部分肉鸡或者发包模式都能被黑名单过滤,但是针对具体服务的 cc 攻击很难防御,因为攻击者只需要相对很少的流量,却能造成很大的后端运算消耗
cyp0633
2023-11-09 16:50:48 +08:00
@EchoUtopia 这不就是 Cloudflare 的 challenge 在做的事情嘛
shellcodecow
2023-11-09 16:56:03 +08:00
流量清洗还是可以的, 一边是服务加速 一边是硬抗 没其他方法。 对方攻击也要成本的,清洗以后的流量想要走正常流程,开启校验能再进来,成本也是不少。
wangj00756
2023-11-09 17:00:32 +08:00
@07212423 大力飞砖,你再有经验也没用啊,这个真没办法
cdlnls
2023-11-09 17:07:25 +08:00
应该是 CC 攻击,openai 应该是放在 cloudflare 后面,ddos 的流量攻击主要的还是给到了 cloudflare 。如果是 CC 的话,清洗也会有漏掉的,量大的情况下后端还是会有消耗更多的计算资源。
gps949
2023-11-09 17:11:16 +08:00
其实就类似无线电干扰。单纯的资源对抗。一切的奇技淫巧在绝对的资源优势面前都苍白无力。所以唯一对 DDoS 绝对有效手段就是:不公开服务。。。
idclight
2023-11-09 17:31:23 +08:00
@itskingname 有没有一种可能,墙是旁路而不是串在里面?
EchoUtopia
2023-11-09 19:11:56 +08:00
@cyp0633 看来我不是在瞎想,如果底层协议就考虑这些应该会好很多。
@yyzh
@nicoljiang 搞个 dados 呢,distributed anti-dos ,支持工作量证明题传播,在边缘处验证
yyzh
2023-11-09 19:55:28 +08:00
@EchoUtopia 简单点你把 DD 当成是服务器网线被拔就行.你现在所设想的一切都有一个前提就是你能收到请求.而 DD 所做的是使你收不到任何请求.
yolee599
2023-11-09 20:42:57 +08:00
@EchoUtopia #7 不可行,因为大量的 IP 包会往你服务器发,不管你要不要都往网卡里怼,直接占满你的网卡队列。这时候除了关机或拔网线没有其他办法

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/990236

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX