1
Septembers 2016-02-12 01:38:16 +08:00 via iPad
DDoS 是一个无解的问题
|
2
jiongjionger 2016-02-12 01:56:01 +08:00
流量攻击你研究软件防火墙( iptables )没有任何用。进黑洞后流量直接截断。
现在 IP 已经暴露。建议换 IP 后使用一些带防御的 CDN 。例如数字的,免费的可以防御 20Gbps 左右。 |
3
em70 2016-02-12 09:33:14 +08:00 via iPhone
阿里云可以临时升级带宽,比如今晚 20-23 点带宽临时增加 50M ,也就几十元,对方攻击成本比你高,一旦没效果就放弃了
|
4
litianyou 2016-02-12 09:55:40 +08:00
@Septembers +1 ;
@em70 +1 ; 不知道你的计费方式可不可以换一下?如果换成按使用流量计费,带宽高一些,会不会 DDOS 的费用比你流量费还要多呢? 如果公司网站可以静态而且比较小的话,不如搞在 Github 上 |
5
Showfom 2016-02-12 11:10:20 +08:00 via iPhone
其实想说要能 24 小时防御 20G 攻击 这个价格很便宜了
|
6
Yamade 2016-02-12 11:28:06 +08:00
换 cdn 不行么
|
7
konakona OP @jiongjionger 谢谢,我试试。
|
8
CzyAer 2016-02-12 12:15:35 +08:00
额. 比如 DDOS,
可以根据目标执行多种攻击方式, 你有 CDN,我可以通过损耗资源来打打网站,也就是 CC 攻击 没有 CDN,我可以通过流量来打,流量打不死,我就换包体, 你可以这样,某一个 IP 每秒超过 5000 包,直接禁掉,通过 iptables 另外,如果你是备案站的话,你可以上国外高防,加大数字网站卫士,绝对 OK! 自己在稍微处理一下,一般 DDOS 能抗住! http://i11.tietuku.com/c351917095f808e2.png http://i11.tietuku.com/b0d286e17c00e55a.png http://i11.tietuku.com/8b7d438281c7b391.png http://i11.tietuku.com/7314147f71124851.png 这是我昨晚测试的效果, 峰值的时候 每秒打出接近 100gbps 的流量. 每秒打出 10MPPS 的包数. 1MPPS=每秒 100W |
9
rhwood 2016-02-12 13:50:39 +08:00
别做无用功了,重要的事情只有 1 个:
不要暴露你数据服务器的真实 ip--》已经暴露了就迁移数据--》前面上 cdn--》预算有限可以 varnish/nginx/haproxy 自建--》 cdn 节点选择提供防 ddos 的服务的机房,顶不住就换下一个。 |
10
konakona OP |
11
CzyAer 2016-02-12 15:43:46 +08:00 via iPhone
杭州机房超过 5G 会触发黑洞
青岛服务器流量超过 5G 会触发黑洞 北京服务器流量超过 1G 会触发黑洞 深圳机房流量超过 2G 触发黑洞 香港机房流量超过 500M 触发黑洞 部分地区可以 5.2g 这是我去年夏天实测的 自己每个节点的开了一台机器,然后自己去 ddos 自己的 ip 实际测试出来的. |
12
mytsing520 2016-02-12 17:52:29 +08:00
阿里云负载均衡 SLB ,前后端内网转发。。
静态资源走 CDN 或阿里云 OSS 了事 |
13
C2Cloud 2016-02-13 09:12:03 +08:00
@CzyAer
@konakona 1. 100Gbps / 10Mpps 明显 UDP 类型的大包攻击,其实针对这种攻击,运营商级别防护起来很轻松,有带宽和设备就 OK ,有时候甚至不需要专业的流量清洗设备介入即可解决这类型的攻击(Cisco 和 Huawei 的高端 SW 都有报文长度和大小限制来丢弃这类攻击报文) 2. 超过 100Gbps 的攻击在近目的地清洗都是耍流氓 3. iptables 还是在系统 Kernel 级别,一个报文要几次 Copy 都不知道,这效率不要被 iptables 拖死已经很好了,有种东西叫做 User Space I/O 4. CDN 这类防护缺点很多,尤其是国内的 CDN 防护,弱点太多,从 DNS 到 Bypass CDN 都可以轻松的干掉被保护的源 5. 建议楼主使用专业的 MssP 级别的安全服务提供商 |
14
bobopu 2016-02-13 13:12:51 +08:00 via iPhone
加入阿里云安全联盟,可提升至 7 到 10G
|
16
hack520 2016-02-15 00:03:33 +08:00
樓主準備足夠票子吧..
|
17
honeypot 2016-02-15 10:21:20 +08:00
建议上 CDN ,如果攻击流量比较小,那么可以扛住,但是可能对部分地区的用户造成影响。
如果想有比较好的防攻击体验,建议购买高防。购买高防会更换 ECS 的 IP ,把真实 IP 隐藏起来,对外只有高防 IP 可见,这样效果最好。 目前阿里云 ECS 服务器被攻击流量触发黑洞的机制如下: 杭州机房超过 5G 会触发黑洞 青岛服务器流量超过 5G 会触发黑洞 北京服务器流量超过 2G 会触发黑洞 深圳机房流量超过 2G 触发黑洞 香港机房流量超过 500M 触发黑洞。 如果您想要提升服务器的防御量,可以免费加入安全信誉联盟帮您防御一定的攻击。 加入安全信誉联盟: https://yundun.console.aliyun.com/#/buyService/ddos 安全信誉联盟介绍: https://help.aliyun.com/knowledge_detail/7602991.html |