V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
kongque2016
V2EX  ›  Linux

减少 DDoS 攻击有哪些简单有效的措施?

  •  
  •   kongque2016 · 2018-08-20 08:05:00 +08:00 · 2576 次点击
    这是一个创建于 2269 天前的主题,其中的信息可能已经有所发展或是发生改变。
    早上好。

    像平时翻墙用的 ssh 服务器,改掉 ssh 默认端口,上传密钥,禁掉密码登录,再封掉其它端口,基本能保证不会被黑进去。这些措施算是减少 ssh 端口攻击的基本措施。

    那么,类似的,网站 /论坛服务器有什么减少 DDoS 的基本措施吗?

    之前在版块里问过大家一些 DDoS 的问题,主要的解决(其实即近似无解对吧)手段各位也都说了,当真有人想 D 你的时候,是躲不过去的。我想问的是,有哪些基本防范措施,能有效增加别人 D 你的难度?以及减少别人 D 你的兴趣和机会?

    我有一些歪门邪道的猜想,来抛砖引玉:
    1,如果是静态网站,托管到 github page 或者一些博客下建立次级域名,这样别人是不是就不能直接 DDoS 你了?乱猜的,千万不要喷我。。。
    2,上 cdn,隐藏 ip。这个性价比怎么样?
    3,vps 服务商提供有网页版的控制面板,我们就写一个变态的脚本,监测带宽使用,发现异常,就远程关机,然后不定时开机。这样至少能保证流量不会被打穿,月底去交 bill。
    第 1 条附言  ·  2018-08-20 13:22:31 +08:00
    希望有经验的朋友能讨论一下第一条,把网站托管在 github page 或其它比较大的博客平台的下面。
    这样,网站没有独立 IP,就不会遭到 DDoS 了对吗?是不是对简单的静态网站比较适用呢?
    进一步推论,用“虚拟主机”,代替 vps 来建站,是不是要省些心呢?不用担心 DDoS ?
    46 条回复    2018-08-27 15:54:36 +08:00
    Laynooor
        1
    Laynooor  
       2018-08-20 08:07:12 +08:00 via Android
    第三点,关机了还是有路由的,流量打过来机房还是会把你扔黑洞里。
    kongque2016
        2
    kongque2016  
    OP
       2018-08-20 08:14:04 +08:00
    @Laynooor 就是说,我关不关机,这个流量都要我掏钱是吗?就没有一点儿办法了吗?
    Wincer
        3
    Wincer  
       2018-08-20 08:15:48 +08:00 via Android
    我记得 github pages 的流量也是有限制的,好像是 100g
    RiESA
        4
    RiESA  
       2018-08-20 08:20:53 +08:00
    cdn 最实际了,cloudflare 免费,不过访问较慢,如果域名有备案,国内一些服务商也有提供免费 CDN
    kongque2016
        5
    kongque2016  
    OP
       2018-08-20 08:23:27 +08:00
    @Wincer 对,是 100g。不过感觉 github 下面的网站,不怎么会引起黑客的兴趣。而且我猜 DDoS 是 github 帮着抗。
    cnbeining
        6
    cnbeining  
       2018-08-20 08:26:35 +08:00
    干脆不监听公网 IP 就得了。
    harde
        7
    harde  
       2018-08-20 08:57:39 +08:00   ❤️ 2
    DDoS 是属于攻击代价低廉,防范代价高昂的攻击方式。
    某种角度属于无解。
    因为公司常年被 DDoS,所以针对楼主说的几个猜想我简单回答下。
    1、是的。但是攻击流量需要 GitHub 来扛,虽然 GitHub 每年遭受的攻击真不差楼主这点。
    2、没有性价比,扛得住的流量费你受不了,扛不住的也没意义。
    3、关不关机跟流量没关系,运营商发现后直接黑洞。 @Laynooor 已经说了。

    目前我们的解决方案是一年掏个十几万的买高防 IP。比较浪费钱,但至少保证服务稳定可用。
    Judoon
        8
    Judoon  
       2018-08-20 09:03:26 +08:00 via Android
    纯流量型的 ddos 完全没有措施减少,只能上流量清洗设备或者高带宽来防护。你说的三个方案都是防护,并不能本身去减少攻击啊!
    abccccabc
        9
    abccccabc  
       2018-08-20 09:16:58 +08:00
    楼主,要不试用下 nginx 的 limit_req_zone,我以前用过。
    H0TSp1RnG
        10
    H0TSp1RnG  
       2018-08-20 09:32:43 +08:00 via Android
    换成服务器主动发起呢
    ithou
        11
    ithou  
       2018-08-20 09:56:48 +08:00 via Android
    我们 cc 域名无法备案是硬伤~ 用不了国内 cdn
    sen2
        12
    sen2  
       2018-08-20 10:00:35 +08:00
    别装逼别引起别人注意
    components
        13
    components  
       2018-08-20 10:03:59 +08:00
    1.CDN
    2.流量清洗
    photon006
        14
    photon006  
       2018-08-20 10:24:33 +08:00
    配置 nginx:
    limit_req_zone:同一 IP 每秒限制最大请求数
    limit_conn_zone:限制同一 IP 最大连接数

    能起到一定作用。

    也有弊端,局域网出口 IP 相同,如果多个用户同时访问会遇到 503,把限制放宽点,免得误杀。
    inkedawn
        15
    inkedawn  
       2018-08-20 10:40:33 +08:00
    关机这个……
    攻击者的目的本来就是想让你服务无法使用吧……人家一打你就乖乖关了,这么听话……
    如果为了省流量的话,楼上也说了……
    f2f2f
        16
    f2f2f  
       2018-08-20 10:45:08 +08:00
    防御加钱可及
    blackhacker
        17
    blackhacker  
       2018-08-20 10:54:25 +08:00
    3 写个变态脚本一开机就开始攻击 手动狗头 /dog
    kongque2016
        18
    kongque2016  
    OP
       2018-08-20 12:33:57 +08:00
    @harde ”是的。但是攻击流量需要 GitHub 来扛,虽然 GitHub 每年遭受的攻击真不差楼主这点。“
    谢谢回复,进一步问,托管在 GitHub 上的网站,没有独立的 IP,就是说,攻击者没有办法直接用 DDoS 的方式,攻击我的网站对吗?
    leido
        19
    leido  
       2018-08-20 12:50:25 +08:00
    既然你敢随时关机,发现攻击了改 dns 指向被墙的网站不就行了, 比如脸书。
    leido
        20
    leido  
       2018-08-20 12:52:22 +08:00
    当然你域名 TTL 要足够短,比如一分钟
    kongque2016
        21
    kongque2016  
    OP
       2018-08-20 12:57:31 +08:00
    @leido 可以这样?我研究一下。
    leido
        22
    leido  
       2018-08-20 12:57:37 +08:00
    个人觉得就算你不用 cdn,有一个前端代理也是好的,代理挂了就挂了,换个代理就行了。
    xenme
        23
    xenme  
       2018-08-20 13:04:53 +08:00 via iPhone
    @kongque2016 直接打 IP 就行了。
    harde
        24
    harde  
       2018-08-20 14:25:44 +08:00
    @kongque2016 可以这样理解。不过这里同时有几个问题。
    1、放在 Github 的静态站点没有什么值得攻击的。
    2、如果的确攻击的频率、流量引起 GitHub 的注意,GitHub 说不定也会关停你的页面。
    harde
        25
    harde  
       2018-08-20 14:28:18 +08:00   ❤️ 1
    @kongque2016 实话说,其实楼主既然已经在问 DDoS 攻击的事了,按理说也应该具备,至少粗浅的具备运维知识了。
    不太应该问出这个问题的,而如果楼主作为开发人员,其实也不太需要在意这些事情。。。
    Jimrussell
        26
    Jimrussell  
       2018-08-20 14:56:14 +08:00 via Android
    竞争对手比较单一的话,就搞清楚了就花点钱 D 回去。这个是成本最低的方法。
    imdong
        27
    imdong  
       2018-08-20 15:22:07 +08:00
    要么干掉打来的流量(用宽带扛下来)。
    要么干掉攻击的人。
    wafm
        28
    wafm  
       2018-08-20 15:32:01 +08:00   ❤️ 5
    曾经混过一段时间的灰产分享一些

    1.Github 发现你的域名异常,会第一次时间拉黑(可以理解成域名黑洞),可能你这个域名以后无法再也解析到 Github。

    2.上 CDN 是个好办法,防 Ddos,不防 CC (除非你纯静态可缓存),我个人推荐是 CDN+WAF,这是成本相对较低实用性较大的办法。

    3.这个完全就是自欺欺人,1 楼说的很清楚了,流量到机房自然就黑洞了。

    4.上面有人提到 DNS 解析到别人的 IP 去,其实这是个非常危险的行为,很多人可能意识不到,当你指向别人的 IP,不管是 GOV 的也好还是比较知名的大服务商,万一真这个第三方真的挨打受损了第一个抓的可不是打你的人,而是你这个指向的人,因为你想想是一个域名的信息好查,还是控制流量躲在背后的人好查?事情发生了总要拉个背锅的。

    5.真实流量打过来,什么软件防御都是无效的,打个比方,一个泳池放水能力是 1 立方 /S,水管就这么大,大于 1 立方的都得等着,如果水太多漫出来影响到其他泳池,那么不好意思,肯定不让你继续进水了,因为其他泳池受影响了。

    6.DNS 一样可以进行查询攻击,服务商也会停止你的解析。

    7.单条家庭带宽是打不出“量”的威力的,除非你 JJ 数量真的非常巨大,“量”主要看上传速率,参考国内运营商,如果你长时间或者固定时间上传保持在高速率,会被运营商风控盯上拉黑限速,一些拿家庭带宽做个人网站的同理都是被风控盯上,这里就不多说了。

    8.所谓 100G 200G 甚至 300G 防御的机器怎么才几百块或者是千把块?我告诉大家,这类机器价格=机器成本(含机房成本)+流量成本+商家利润,是的,这类机器或许可以帮你挡几波攻击,一旦流量成本被消耗完毕,那你这个机器基本上是属于黑机,什么意思,就是说帮你挡完你该享有的流量成本后,随便一碰就会凉凉黑洞。

    9.目标比较好的防御方式我分享一下,WEB 服务参考分享 2,如果是 C/S,我个人推荐是分布式,也就是市场上现在的各种盾,原理也就是 N 个前端反代结合后端的源机,做到隐藏源机 IP 的作用,所有人不在同一台服务器即使被 D 损失也相对较少,而且攻击者会无从下手,当然这个成本是不低的,说一下百度上面的“游戏盾”几百块一个月的节点挨不了多少打的,DDOS 的对抗就是成本问题。

    10.总结一下,在 DDOS 界里,充斥着不少不诚信的行为,不管是想攻击别人上当受骗的,还是被不良商家忽悠买机器的。
    kongque2016
        29
    kongque2016  
    OP
       2018-08-20 15:46:09 +08:00
    @harde 我是开发人员,但业余要维护一个网站(论坛)。
    RobertYang
        30
    RobertYang  
       2018-08-20 15:51:19 +08:00 via Android
    真正的 DDoS 没有什么防护措施,除非跟运营商合作做流量牵引,或者有机房做流量清洗,不然真没什么办法
    kongque2016
        31
    kongque2016  
    OP
       2018-08-20 15:55:07 +08:00
    @wafm 其实我如果上 cdn 的话,主要是要他隐藏 IP 的功能,至于“抗揍”的功能不奢求(因为没钱砸)。IP 一隐藏的话,起码不会让人随便摸一下打一下,就好比夜晚把衣服收回屋子里,是防止无心的路人起贼念,但不防大盗,想偷就偷,反正我这衣服也不值钱,明天再买一件就是了。
    kongque2016
        32
    kongque2016  
    OP
       2018-08-20 16:00:29 +08:00
    @wafm 干货好多,赞一个。
    wafm
        33
    wafm  
       2018-08-20 16:04:08 +08:00
    @kongque2016 那其实你可以参考一下负载均衡,那个应该更便宜一些。。
    harde
        34
    harde  
       2018-08-20 16:35:32 +08:00
    @kongque2016 那么最好的办法,就是让甲方加钱。甲方要是觉得贵,你省事了。甲方要是掏钱了,你也省事了。
    woshipanghu
        35
    woshipanghu  
       2018-08-20 19:27:04 +08:00
    上个百度云加速 简单直接有效 哪还需要这么折腾啊
    有钱的 上知道创宇
    raptor
        36
    raptor  
       2018-08-20 21:13:51 +08:00
    其它的大家说得差不多了,我说最后一点吧:

    不要把虚拟主机想得太好,我用过一个号称国外不限流量的名牌虚拟机主机,曾经被攻击过,流量可能才 10G 吧,就被服务商拉黑了。
    xinghai10086
        37
    xinghai10086  
       2018-08-21 00:24:44 +08:00
    @RiESA cloudflare 访问慢很多,cloudflare 的付费没用过不知道速度上差的多不多。自建 cdn 技术或者资料有推荐的么
    xinghai10086
        38
    xinghai10086  
       2018-08-21 00:25:43 +08:00
    @harde 使用高防 ip 访问速度会降下来么?自建 cdn 靠谱不
    shiny
        39
    shiny  
       2018-08-21 01:19:56 +08:00
    @wafm 请教下,有段时间我们一个网站经常性被 DDoS,打趴下的有阿里云和 cloudxns,最后切到百度云加速后攻击就无法继续,国内还有哪些性价比比较高的防护服务?
    harde
        40
    harde  
       2018-08-21 08:38:28 +08:00
    @xinghai10086 不会降低速度,至少用户无感。自建 CDN ?怎么个建法?应该不是机房吧?用多台异地主机?之前我们被攻击,峰值流量 50G 左右,你得多少个主机抗。。。
    tyzrj766
        41
    tyzrj766  
       2018-08-21 09:04:19 +08:00 via Android   ❤️ 1
    基本防御就是用 CDN 隐藏真实 IP,不要暴露主机的 IP,不要作死求打,剩下的看天。如果你没钱,抗不住的,那些高防的也是有一定条件的,即使可以防御如果不做定制规则,对网站影响还得挺大的。而且基本都得砸钱。
    被打就是关机睡觉,虽然关机是没用的,只是一种无奈的自嘲罢了。在一些竞争激烈的地方互相 DDCC 也是日常了。
    wafm
        42
    wafm  
       2018-08-21 15:56:07 +08:00   ❤️ 1
    @shiny 百度云加速做的是不错的,我很推荐。

    前身是安全宝,也就是知道创宇合作的产品,现在又和 cloudflare 合作 可以说是挺好用的了 其他的不清楚 当时我也用的是百度云加速 只要设置得当效果不错的。
    c00WKmdje2wZLrSI
        43
    c00WKmdje2wZLrSI  
       2018-08-24 14:37:03 +08:00
    @ithou cc 不能备案?我前两个月才刚备案了个 cc
    ithou
        44
    ithou  
       2018-08-24 14:57:10 +08:00 via Android
    @c00WKmdje2wZLrSI 对啊 我阿里云买的,不能认证不能备案 😅
    xinghai10086
        45
    xinghai10086  
       2018-08-24 22:36:03 +08:00
    @harde 你们后面是用的哪家 cdn,如何处理抗住 50g 流量
    harde
        46
    harde  
       2018-08-27 15:54:36 +08:00
    @xinghai10086 阿里高防 IP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5671 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 03:40 · PVG 11:40 · LAX 19:40 · JFK 22:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.