在不购买阿里云高仿 ddos 服务的基础下如何优化 ecs 尽可能的减轻 ddos 的攻击效果保证网站运行正常呢?
konakona · 2016-02-12 00:34:54 +08:00 · 5448 次点击这是一个创建于 3186 天前的主题,其中的信息可能已经有所发展或是发生改变。
是酱紫的,这几天过节估计是竞争对手派来的。
攻击一台服务器,造成了 10 分钟左右 2G 的攻击量,阿里云发了封邮件,大致意思是:遭到了 DDOS 攻击,一经关闭该主机的任何访问请求 40 分钟。
40 分钟啊!你主动关闭 40 分钟啊!!!=。= 好在是淡季……
看了下阿里云的高仿 DDOS 报价: https://help.aliyun.com/knowledge_detail/5975209.html?spm=5176.1538802.4.3.qRmQZy
16800 元 /月 防范 20g ,真的不是一般企业接受得了的技术成本啊。而且并不是经常有 DDOS ,为防患于未然,想请问下大家以下主机配备大家一般是如何降低 DDOS 的攻击效果以保证网站运行正常的呢?
CPU : 2 核
内存: 4096 MB
操作系统: CentOS 6.3 64 位
带宽计费方式: 按固定带宽
当前使用带宽: 带宽: 5Mbps
apache2.2
php5.4
服务器运行 1-2 个站。 CPU 使用率 1 ~ 2%。搭配 rds ,所以本机 mysql 已关闭。
我打算 14 号上班研究下 iptables 。
攻击一台服务器,造成了 10 分钟左右 2G 的攻击量,阿里云发了封邮件,大致意思是:遭到了 DDOS 攻击,一经关闭该主机的任何访问请求 40 分钟。
40 分钟啊!你主动关闭 40 分钟啊!!!=。= 好在是淡季……
看了下阿里云的高仿 DDOS 报价: https://help.aliyun.com/knowledge_detail/5975209.html?spm=5176.1538802.4.3.qRmQZy
16800 元 /月 防范 20g ,真的不是一般企业接受得了的技术成本啊。而且并不是经常有 DDOS ,为防患于未然,想请问下大家以下主机配备大家一般是如何降低 DDOS 的攻击效果以保证网站运行正常的呢?
CPU : 2 核
内存: 4096 MB
操作系统: CentOS 6.3 64 位
带宽计费方式: 按固定带宽
当前使用带宽: 带宽: 5Mbps
apache2.2
php5.4
服务器运行 1-2 个站。 CPU 使用率 1 ~ 2%。搭配 rds ,所以本机 mysql 已关闭。
我打算 14 号上班研究下 iptables 。
 |
1
Septembers 2016-02-12 01:38:16 +08:00 via iPad
DDoS 是一个无解的问题
|
 |
2
jiongjionger 2016-02-12 01:56:01 +08:00
流量攻击你研究软件防火墙( iptables )没有任何用。进黑洞后流量直接截断。
现在 IP 已经暴露。建议换 IP 后使用一些带防御的 CDN 。例如数字的,免费的可以防御 20Gbps 左右。 |
 |
3
em70 2016-02-12 09:33:14 +08:00 via iPhone
阿里云可以临时升级带宽,比如今晚 20-23 点带宽临时增加 50M ,也就几十元,对方攻击成本比你高,一旦没效果就放弃了
|
 |
4
litianyou 2016-02-12 09:55:40 +08:00
@Septembers +1 ;
@em70 +1 ; 不知道你的计费方式可不可以换一下?如果换成按使用流量计费,带宽高一些,会不会 DDOS 的费用比你流量费还要多呢? 如果公司网站可以静态而且比较小的话,不如搞在 Github 上  |
 |
5
Showfom 2016-02-12 11:10:20 +08:00 via iPhone
其实想说要能 24 小时防御 20G 攻击 这个价格很便宜了
|
 |
6
Yamade 2016-02-12 11:28:06 +08:00
换 cdn 不行么
|
 |
7
konakona OP @jiongjionger 谢谢,我试试。
|
 |
8
CzyAer 2016-02-12 12:15:35 +08:00
额. 比如 DDOS,
可以根据目标执行多种攻击方式, 你有 CDN,我可以通过损耗资源来打打网站,也就是 CC 攻击 没有 CDN,我可以通过流量来打,流量打不死,我就换包体, 你可以这样,某一个 IP 每秒超过 5000 包,直接禁掉,通过 iptables 另外,如果你是备案站的话,你可以上国外高防,加大数字网站卫士,绝对 OK! 自己在稍微处理一下,一般 DDOS 能抗住! http://i11.tietuku.com/c351917095f808e2.png http://i11.tietuku.com/b0d286e17c00e55a.png http://i11.tietuku.com/8b7d438281c7b391.png http://i11.tietuku.com/7314147f71124851.png 这是我昨晚测试的效果, 峰值的时候 每秒打出接近 100gbps 的流量. 每秒打出 10MPPS 的包数. 1MPPS=每秒 100W |
 |
9
rhwood 2016-02-12 13:50:39 +08:00
别做无用功了,重要的事情只有 1 个:
不要暴露你数据服务器的真实 ip--》已经暴露了就迁移数据--》前面上 cdn--》预算有限可以 varnish/nginx/haproxy 自建--》 cdn 节点选择提供防 ddos 的服务的机房,顶不住就换下一个。 |
|
10
konakona OP |
|
11
CzyAer 2016-02-12 15:43:46 +08:00 via iPhone
杭州机房超过 5G 会触发黑洞
青岛服务器流量超过 5G 会触发黑洞 北京服务器流量超过 1G 会触发黑洞 深圳机房流量超过 2G 触发黑洞 香港机房流量超过 500M 触发黑洞 部分地区可以 5.2g 这是我去年夏天实测的 自己每个节点的开了一台机器,然后自己去 ddos 自己的 ip 实际测试出来的. |
 |
12
mytsing520 2016-02-12 17:52:29 +08:00
阿里云负载均衡 SLB ,前后端内网转发。。
静态资源走 CDN 或阿里云 OSS 了事 |
 |
13
C2Cloud 2016-02-13 09:12:03 +08:00
@CzyAer
@konakona 1. 100Gbps / 10Mpps 明显 UDP 类型的大包攻击,其实针对这种攻击,运营商级别防护起来很轻松,有带宽和设备就 OK ,有时候甚至不需要专业的流量清洗设备介入即可解决这类型的攻击(Cisco 和 Huawei 的高端 SW 都有报文长度和大小限制来丢弃这类攻击报文) 2. 超过 100Gbps 的攻击在近目的地清洗都是耍流氓 3. iptables 还是在系统 Kernel 级别,一个报文要几次 Copy 都不知道,这效率不要被 iptables 拖死已经很好了,有种东西叫做 User Space I/O 4. CDN 这类防护缺点很多,尤其是国内的 CDN 防护,弱点太多,从 DNS 到 Bypass CDN 都可以轻松的干掉被保护的源 5. 建议楼主使用专业的 MssP 级别的安全服务提供商 |
 |
14
bobopu 2016-02-13 13:12:51 +08:00 via iPhone
加入阿里云安全联盟,可提升至 7 到 10G
|
 |
16
hack520 2016-02-15 00:03:33 +08:00
樓主準備足夠票子吧..
|
 |
17
honeypot 2016-02-15 10:21:20 +08:00
建议上 CDN ,如果攻击流量比较小,那么可以扛住,但是可能对部分地区的用户造成影响。
如果想有比较好的防攻击体验,建议购买高防。购买高防会更换 ECS 的 IP ,把真实 IP 隐藏起来,对外只有高防 IP 可见,这样效果最好。 目前阿里云 ECS 服务器被攻击流量触发黑洞的机制如下: 杭州机房超过 5G 会触发黑洞 青岛服务器流量超过 5G 会触发黑洞 北京服务器流量超过 2G 会触发黑洞 深圳机房流量超过 2G 触发黑洞 香港机房流量超过 500M 触发黑洞。 如果您想要提升服务器的防御量,可以免费加入安全信誉联盟帮您防御一定的攻击。 加入安全信誉联盟: https://yundun.console.aliyun.com/#/buyService/ddos 安全信誉联盟介绍: https://help.aliyun.com/knowledge_detail/7602991.html |
Select Language