V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
dzdh
V2EX  ›  问与答

使用 CDN 当面临 DDoS 时, CDN 厂商能知道当前被攻击的是哪个站点(域名)吗?

  •  
  •   dzdh · 2023-05-24 09:43:45 +08:00 · 2374 次点击
    这是一个创建于 549 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ddos 不是直接针对 ip 发包的吗 ( syn 包里没域名吧)

    能被识别的不是 7 层的 CC 攻击吗

    纯 DDoS 攻击 CDN 厂商能识别哪个客户并扣费吗
    25 条回复    2023-08-10 17:10:50 +08:00
    proxytoworld
        1
    proxytoworld  
       2023-05-24 09:46:02 +08:00
    这种都是 cc ,能识别是那个域名的
    dzdh
        2
    dzdh  
    OP
       2023-05-24 10:02:19 +08:00
    @proxytoworld 因此,cdn 厂商能扣费,就必定是 CC ,如果 CDN 厂商说,你被 DDoS 了流量太大,所以扣了你几十万哦~ 那就是糊弄鬼呗
    proxytoworld
        3
    proxytoworld  
       2023-05-24 10:23:44 +08:00
    @dzdh cc 是 ddos 的一种
    elioti
        4
    elioti  
       2023-05-24 10:38:37 +08:00
    cc 也是域名解析到了 cdn 节点的 ip, 最重要的是节点 ip 如何跟用户关联的
    保证客户的域名解析出的 ip 不同,无论一个还是多个,每个客户的 ip 不一致。这样就能根据 ddos 的 ip 匹配到客户
    whileFalse
        5
    whileFalse  
       2023-05-24 10:43:48 +08:00
    http/https 请求也可以 ddos 啊你们在说些什么
    dzdh
        6
    dzdh  
    OP
       2023-05-24 10:50:45 +08:00
    @proxytoworld @elioti @whileFalse

    我理解的 cc 攻击 是 http/https 协议大量真实访问只是肉鸡多

    而 ddos 我理解的是 OSI3/4 层的 纯流量攻击 比如 syn flood/udp flood/NTP amplification ,使其对方带宽耗尽

    当然 cc 也算是 ddos 的一种 字面意思的确包含。

    所以问题是,别的不说,就说 syn flood ,通过我的域名,解析到了一个 cdn ,那这个 ip 必然是 cdn 节点的 ip , 对这个 ip 进行 syn flood 攻击,cdn 厂商能识别到客户吗
    whileFalse
        7
    whileFalse  
       2023-05-24 11:06:35 +08:00
    @dzdh 你先弄明白 ddos 几个字母分别表示什么吧。
    dzdh
        8
    dzdh  
    OP
       2023-05-24 11:36:29 +08:00
    @whileFalse #7 问题再精简一下。当 cdn 节点 IP 遇到 SYN Flood 攻击,能不能识别是哪个客户正在被攻击
    whileFalse
        9
    whileFalse  
       2023-05-24 11:39:39 +08:00
    @dzdh 不能,也打不挂。首先 CDN 都可以防 SYN Flood 的,那玩意儿对资源的硬消耗不大。其次如过真把节点压出毛病了 CDN 厂商直接把这个节点下线就完了。
    iqoo
        10
    iqoo  
       2023-05-24 13:10:38 +08:00
    其实国际上并没有 cc 攻击这个名词,只是国内约定俗成的叫法而已。本质上就是 L7/L4 DDOS 。L7 在应用层,自然可拿到 HTTP 头里的 host 字段。
    nightwitch
        11
    nightwitch  
       2023-05-24 13:33:42 +08:00 via Android
    你描述的场景相当于直接在打 cdn 的节点。
    ChineseTeacher
        12
    ChineseTeacher  
       2023-05-24 13:39:51 +08:00   ❤️ 1
    我换个角度重问一下 lz 这个问题:如果我的一个网站被 ddos ,那么阿里云可以直接给我的 IP 黑洞,我的服务就没法用了。但是如果我用了 CDN 的话,既然 CDN 都是多个网站共用同一个 IP ,那阿里云是不是就没法得知具体是他的哪个客户给它惹了麻烦,来把那个客户给踢出去,或者要那个客户加购 ddos 防护了呢?那样的话阿里云给 CDN 的 ddos 防护还有什么意义?只要我能防好 cc ,那么套 CDN 岂不可以解决所有 ddos ?

    @elioti #4 我知道阿里云 CDN 有沙箱,是专门放被攻击的网站的。所以阿里云有什么机制会自动尝试,挑出来被攻击的网站?

    @whileFalse
    dzdh
        13
    dzdh  
    OP
       2023-05-24 13:47:31 +08:00
    Exdui
        14
    Exdui  
       2023-05-24 13:54:16 +08:00
    @ChineseTeacher #12 cc 是 ddos 其中一个方式,套 cdn 之后只需要防护好 cc 就可以避免其他 ddos 问题了。
    proxytoworld
        15
    proxytoworld  
       2023-05-24 14:01:15 +08:00
    @ChineseTeacher 前提是你钱足够多,cdn 流量费不考虑吗,而且 cdn 是在你网站前面的,如果 ddos 流量都给 cdn 吃了也达到了攻击者目的
    dzdh
        16
    dzdh  
    OP
       2023-05-24 14:40:16 +08:00
    @proxytoworld #15 非 L7 的攻击为啥会被扣费
    proxytoworld
        17
    proxytoworld  
       2023-05-24 14:58:38 +08:00
    @dzdh 给你 cc 攻击不就是 l7 的吗。。
    proxytoworld
        18
    proxytoworld  
       2023-05-24 14:59:23 +08:00
    攻击者知道你套了 cdn 肯定发起 cc 攻击,如果探测到源站还可以用 syn flood 等
    dzdh
        19
    dzdh  
    OP
       2023-05-24 15:02:32 +08:00
    @proxytoworld #17 所以还是只要不是 L7 CDN 厂商就只能硬扛还没辙 不泄露源站 IP 的前提下。
    proxytoworld
        20
    proxytoworld  
       2023-05-24 15:06:56 +08:00
    @dzdh 直接 drop 就行了,不用抗
    whileFalse
        21
    whileFalse  
       2023-05-24 15:23:29 +08:00 via iPhone   ❤️ 2
    @ChineseTeacher
    @dzdh
    拿 aws 来说吧。aws cdn 自带的免费保护包括 SYN/UDP Floods 、反射攻击等。这些都没法和特定用户联系起来,所以是免费提供的,叫 shield standard 。
    此外还有个付费的 shield advanced ,能抗 HTTP ddos ,而且不只能保护 cdn ,还包括对 alb 和 ip 的保护,当然就是收费的了
    dann73580
        22
    dann73580  
       2023-05-24 17:51:07 +08:00
    其实你看 cf 就知道了,如果是 l4 的攻击,通过任播负载分流掉,不构成什么问题。当然单点还是有可能压炸了。如果是 l7 的攻击,不但知道,你还可以写规则让 cf 拦呢。
    nrtEBH
        23
    nrtEBH  
       2023-05-24 19:21:06 +08:00
    没人傻到拿 4 层流量去打 cdn 后面的站点 知道 CF 全球总带宽储备有多大吗
    louisxxx
        24
    louisxxx  
       2023-05-24 20:53:26 +08:00
    用下 CF 和阿里云就知道了。人家系统会自动切换 IP 来阻隔排除是哪个网站被 4 层 DDoS 。
    你以为家人傻啊
    idc906
        25
    idc906  
       2023-08-10 17:10:50 +08:00 via iPhone
    ddos 打的是服务器 ip ,这肯定看不出来的,cc 攻击打的是域名,就是针对性打的,被打会 cpu 超载
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1571 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:10 · PVG 01:10 · LAX 09:10 · JFK 12:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.