一直很好奇， ddos 真的无解嘛？

这两天 OpenAI 说被 DDOS 导致服务不行。这么大的公司，还是全球提供服务的，都能被 DDOS 成这样。攻击者的成本很低吗？（打成这样一天能要几万吗？）如果全球各地的肉鸡都 D OpenAI ，它能怎么解决呢？还有 Azure 的 ChatGPT 很稳，是因为世界上没有人可以把微软服务器 DDOS 废吗？如果 70 亿人同时访问呢？假如 70 亿人同时访问，都不会挂，是不是地球上没有生物可以 DDOS 掉微软了？

小白不是很懂网络，一直感觉 DDOS 仿佛是个无敌的技能（除非抓住始作俑者）求赐教。

Lightbright

323 天前

#全球 70 亿人访问不挂是不是就无敌了

不是的，利用一些技巧可以使攻击流量放大很多倍，能产生 200 亿人同时访问的效果

例如前几天的 rapid reset 攻击

itskingname

323 天前

每天从境内访问境外的数据流量也极其庞大，但是 GFW 却没有受到 DDoS 攻击的效果。所以应该有办法规避。

sentinelK

323 天前

"攻击者的成本很低吗？"
相对攻击效果而言，很低。入流的 DDoS 攻击并不是肉鸡、虚拟机直接给服务器发请求这么简单。可以通过一些手段放大攻击压力。（具体方法详见互联网，恕不赘述）

"如果全球各地的肉鸡都 D OpenAI ，它能怎么解决呢？"
DDoS 预防大于防御。

“一直感觉 DDOS 仿佛是个无敌的技能”
也不是，关键看被攻击者的经营策略。如果受害者想在自身业务完全不受影响的情况下，完美防御 DDoS ，确实不现实。

EchoUtopia

323 天前

想到一个方法可能可以缓解，可能比较天真：服务器压力大的时候，服务器每秒出若干个工作量证明题，并定时刷新和淘汰题目，服务器随机发送题目给客户端，这段时间，客户端必须发送题目 id 和答案给服务器，从而增加客户端成本。对于新建连接，客户端发起 syn 后，服务器的 ack 包含题目，第三次握手必须给出答案。这种方式也可以供服务器提供商识别自己有很多资源被当作肉鸡了。服务器没有恶意出题的目的，因为这种方式会增加客户端体验变差，不愿意去连接。

yyzh

323 天前

@EchoUtopia DDoS 分 DD 和 CC.DD 是一大堆无用流量一起攻击，上级路由都处理不过来了那你服务器搞其他乱七八糟的全部都没用.因为首先你得能发得出去和能接收数据

orlog

323 天前

单纯针对网络的 ddos 攻击可以通过流量清洗减轻很大影响，因为攻击者的大部分肉鸡或者发包模式都能被黑名单过滤，但是针对具体服务的 cc 攻击很难防御，因为攻击者只需要相对很少的流量，却能造成很大的后端运算消耗

shellcodecow

323 天前

流量清洗还是可以的，一边是服务加速一边是硬抗没其他方法。对方攻击也要成本的，清洗以后的流量想要走正常流程，开启校验能再进来，成本也是不少。

cdlnls

323 天前

应该是 CC 攻击，openai 应该是放在 cloudflare 后面，ddos 的流量攻击主要的还是给到了 cloudflare 。如果是 CC 的话，清洗也会有漏掉的，量大的情况下后端还是会有消耗更多的计算资源。

gps949

323 天前

其实就类似无线电干扰。单纯的资源对抗。一切的奇技淫巧在绝对的资源优势面前都苍白无力。所以唯一对 DDoS 绝对有效手段就是：不公开服务。。。

EchoUtopia

323 天前

@cyp0633 看来我不是在瞎想，如果底层协议就考虑这些应该会好很多。
@yyzh
@nicoljiang 搞个 dados 呢，distributed anti-dos ，支持工作量证明题传播，在边缘处验证

yyzh

323 天前

@EchoUtopia 简单点你把 DD 当成是服务器网线被拔就行.你现在所设想的一切都有一个前提就是你能收到请求.而 DD 所做的是使你收不到任何请求.

yolee599

322 天前

@EchoUtopia #7 不可行，因为大量的 IP 包会往你服务器发，不管你要不要都往网卡里怼，直接占满你的网卡队列。这时候除了关机或拔网线没有其他办法

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/990236

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.