V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
as9567585
V2EX  ›  信息安全

有什么小成本的方案来阻止 ddos

  •  1
     
  •   as9567585 · 118 天前 · 6609 次点击
    这是一个创建于 118 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一、ddos 高防

    价格太贵

    二、直接屏蔽外国 ip

    如果面对的都是国内的客户,可以直接简单粗暴屏蔽国外 ip ,但这就需要一个精确度高的的 ip 库,ipip.net 价格太贵,而且还是会有可能误伤,有用这种方案的朋友吗?怎么处理的呢?

    我也不清楚为什么很少有国内的 ddos 攻击源,监管的很严?

    三、根据流量动态动态屏蔽

    这个感觉靠谱,就怕肉鸡太多,需要设定合适的阈值,防止误伤,有用这种方式的朋友吗?有什么经验推荐下?

    86 条回复    2022-12-22 13:37:34 +08:00
    dorothyREN
        1
    dorothyREN  
       118 天前
    屏蔽 ip 也没用,ddos 才不管你响不响应呢
    isbase
        2
    isbase  
       118 天前   ❤️ 4
    用 cloudflare
    PMR
        3
    PMR  
       118 天前 via Android
    DDoS 流量已经到入口 屏蔽只防 CC 只能 null IP
    7zlid
        4
    7zlid  
       118 天前 via Android
    CF
    jousca
        5
    jousca  
       118 天前
    DDOS ,流量即正义。没有足够带宽,你任何防护设备都没有用…… 直接跑满。

    国内有 DDOS 源,肉鸡猖獗的年代,动辄 100 多个 G 的流量打过来,防火墙自己都死机。
    eason1874
        6
    eason1874  
       118 天前
    能通过屏蔽 IP 来防御的是 CC 攻击,防不了 DDOS

    防御 DDOS 只能加带宽,加硬件,硬扛,没有自己的机房就只能买高防
    kizunai
        7
    kizunai  
       118 天前   ❤️ 9
    关机
    aaa5838769
        8
    aaa5838769  
       118 天前
    没有办法的,人家用很少的机器,就能把你带宽打满。
    tanranran
        9
    tanranran  
       118 天前
    @kizunai #7 IP 会进黑洞的,和开不开机无关,除非机房的路由器关了。但是不可能关呀
    lhx2008
        10
    lhx2008  
       118 天前
    CDN 就行了,纯接口的话一个月十几块钱
    scys
        11
    scys  
       118 天前
    拔线跑路,换地头
    Y29tL2gwd2Fy
        12
    Y29tL2gwd2Fy  
       118 天前 via Android
    拔电源插头🔌
    tanpengsccd
        13
    tanpengsccd  
       118 天前 via iPhone
    德国鸡的高防很便宜,但是线路比较差
    IvanLi127
        14
    IvanLi127  
       118 天前 via Android
    关停等结束,这应该成本最低了吧。毕竟营收好的,权衡完后就是花钱解决,降低损失。
    Rocketer
        15
    Rocketer  
       118 天前 via iPhone
    DDOS 的原理不是打死你的机器,而是占满你的上游带宽,让机房甚至 IDC 直接从离你很远的地方就阻断到你 IP 的流量,以免影响其他人。

    现在你知道为什么高防 IP 贵了吧?因为需要上游给你开白名单。
    cnrting
        16
    cnrting  
       118 天前
    poweroff
    1423
        17
    1423  
       118 天前
    geekvcn
        18
    geekvcn  
       118 天前 via iPhone
    想阻止 ddos 目前只有三个靠谱的方式
    比财力,只要你口子够大,或者能调整足够多的路由,就没事。
    报警,八成没下文
    从底层修改现在的网络软硬件架构,从底层协议设计初期就考虑 ddos 进去,比如末端网络设备可以自动识别拦截攻击流量
    WildCat
        19
    WildCat  
       118 天前
    国内节点屏蔽国外 IP ,CF 白名单。
    国外全部解析 CF
    applefly
        20
    applefly  
       118 天前   ❤️ 2
    关机保平安
    shanghai1998
        21
    shanghai1998  
       118 天前
    国内主机?
    阿里云直接上 WAF ,包月的那种,封 ip 、封访问次数,能封的非常多,还蛮好用的,几千块钱 /月
    tx 云应该也有类似产品
    jy02201949
        22
    jy02201949  
       118 天前   ❤️ 2
    这是有流量的烦恼啊,不像我,天天躲 cf 后面瑟瑟发抖,生怕哪天我的 1IP 博客被 ddcc 干死了
    as9567585
        23
    as9567585  
    OP
       118 天前
    @jousca 现在为什么没有国内的攻击源了呢?
    LykorisR
        24
    LykorisR  
       118 天前
    @as9567585 因为现在可以直接线下物理阻止攻击....
    aoling
        25
    aoling  
       118 天前
    花钱保平安, 没有小成本方案

    ddos 攻击属于杀敌一千自损八百
    攻击者也需要付出带宽成本
    as9567585
        26
    as9567585  
    OP
       118 天前
    @LykorisR 啊啊 😂,请教下,物理攻击说的是直接拔网线吗?
    myqoo
        27
    myqoo  
       118 天前
    有低成本的方案,得看什么服务,Web 还是 App ,不同场景防御方式不同。
    cyannnna
        28
    cyannnna  
       118 天前
    @IvanLi127 ddos 就是这个目的啊,有些服务宕机一会影响很大的。。你自废武功反而不用别人 d 了
    hez2010
        29
    hez2010  
       118 天前 via Android
    可以试试在服务器上装个带 IPS/DOS 防护的杀毒软件 /防火墙(前提是 Windows Server ),会自动根据传入连接行为阻断可能的攻击连接。
    o00o
        30
    o00o  
       118 天前
    @lhx2008 CDN 遇到 DDOS 的时候账单会爆表吧,或者会被 cdn 厂商直接回源
    aoling
        31
    aoling  
       118 天前   ❤️ 4
    @hez2010 你根本不懂 ddos,流量都到服务器了还在做无谓的挣扎
    WOLFRAZOR
        32
    WOLFRAZOR  
       118 天前
    防 DDoS 目前只能上昂贵的高防服务器。
    newmlp
        33
    newmlp  
       118 天前
    没有
    newmlp
        34
    newmlp  
       118 天前
    @hez2010 ddos 打的是你的带宽,就算你阻止了连接,流量还是会到你的网关,正常用户的流量根本进不来
    THESDZ
        35
    THESDZ  
       118 天前
    ddos 解决方案应该由电信运营商提供支持更合适,可惜没那能力,也没那想法
    hez2010
        36
    hez2010  
       118 天前
    @aoling @newmlp 但至少不会导致应用负载爆满了。另外阻止了连接后流量是进不来的,因为是直接屏蔽源 IP 地址的,相当于一个自动添加规则的 IP 过滤器。
    hez2010
        37
    hez2010  
       118 天前
    而且,入站流量一般都是免费的吧,只有出站才收费。
    newmlp
        38
    newmlp  
       118 天前   ❤️ 2
    @hez2010 那是,但是你带宽被占满了,正常用户的流量也进不来啊,就像开饭店一样,你可以阻止恶意流量进来吃饭,但是你门口的路已经被恶意流量占完了,你阻不阻止人家进来吃饭有啥意义呢,不如关门歇业还能省点电费
    leonshaw
        39
    leonshaw  
       118 天前
    据说有的运营商可以用 BGP flowspec 在入口把流量丢掉
    killerv
        40
    killerv  
       118 天前
    @hez2010 #36 ddos 根本不需要和你建立连接,正常流量压根进不来啊;就算应用负载没压力,你也提供不了服务
    dakb
        41
    dakb  
       118 天前
    套个 CDN ,试情况 CDN 上配限流、黑白名单之类的,交给 CDN 厂商。
    dorothyREN
        42
    dorothyREN  
       118 天前
    @hez2010 #36 防火墙也是要消耗系统资源的好吧,量大了 光防火墙就能把你机器拖垮
    hoopan
        43
    hoopan  
       118 天前
    上个月刚处理一波 CC 攻击,就是屏蔽了所有境外访问,大概屏蔽了两周多就好了。哈哈
    攻击的 IP 多的可怕,防火墙的黑名单都放不下了。
    angiie
        44
    angiie  
       118 天前
    说 CDN 的都是大佬,最好查一下 DDOS 啥
    LykorisR
        45
    LykorisR  
       118 天前
    @as9567585 报警.......
    serialt
        46
    serialt  
       118 天前
    停服关机
    aaronlam
        47
    aaronlam  
       118 天前
    CF
    LanFomalhaut
        48
    LanFomalhaut  
       118 天前
    服务端跑的什么业务,web 还是端的服务器?
    web 的话可以尝试用云 WAF 来前端过滤下 CC 或者在攻击者未获知你服务器 IP 的情况不被 DDOS 。
    如果是后者的话,只能搬高防机房去了,如果财力大可以加购运营商的近源清洗服务(注意是加购,单纯依托这个服务还是会受限于服务器本身的防御能力,比如 1G 下去就黑洞了那种救不了的)。
    dingwen07
        49
    dingwen07  
       118 天前 via iPhone
    在国外搞一个 AS 广播你的 IP
    然后直接丢弃掉包裹
    这样国外 DDoS 的流量不可能进到国内服务器
    DeWjjj
        50
    DeWjjj  
       118 天前
    CDN=>BAN 境外
    w3cll
        51
    w3cll  
       117 天前
    问题来了,怎么发起 DDoS 攻击?代码写死循环?
    SekiBetu
        52
    SekiBetu  
       117 天前
    国外流量路由到黑洞里
    kwh
        53
    kwh  
       117 天前
    摆烂零成本
    pubby
        54
    pubby  
       117 天前 via iPhone
    国内用阿里腾讯的全站加速。
    ddos 让他们来扛
    再配合重定向之类的规则临时性断掉一些被攻击页面访问
    Sekai
        55
    Sekai  
       117 天前
    你需要搞一个大新闻出来
    PerFectTime
        56
    PerFectTime  
       117 天前
    四.省钱别买服务器
    documentzhangx66
        57
    documentzhangx66  
       117 天前
    DDOS 本来就是经济放大型进攻方式,怎么可能会有小成本防范方式。
    signalas1
        58
    signalas1  
       117 天前
    DNS 接入 cloudflare 解析
    jousca
        59
    jousca  
       117 天前
    @as9567585 现在是串通好了,不用攻击,打个电话给对家,对方 IDC 直接给你 IP 拉黑,问就是你被攻击了,加钱解封,其实啥攻击都没有…… 钱到手自动恢复,大家五五分账。
    luckycat
        60
    luckycat  
       117 天前
    ddos 靠软防火墙是不行的,楼主稍微去了解一下原理,就会明白这个东西没那么容易防得住的。价格贵总是有他的原因的。
    shiny
        61
    shiny  
       117 天前
    如果是 Web 服务,国内可以用类似加速乐这类服务,藏好源 IP ,同时也不要落下 DNS 的 DDoS 防御
    yankebupt
        62
    yankebupt  
       117 天前
    @as9567585 这多少年的老话题了
    国内没有 CF 的原因就不说了:审查权直接交给代理机了,国内这环境谁敢做?

    高防 DDOS 其实挺好的,非要纠结成本的话……

    其实有一个非常非常流氓的小成本解决方案,不知道有没有人用……
    就是全路由黑洞,只留各大云提供商的 IP 段路由,想访问?自己实名买云服务器小机当跳板去。
    连监管带访问控制云服务商都替你做好了
    相当于强迫 DDOS 者花正价买流量。
    就没人 D 了

    缺点也显而易见,而且万一风行起来还有其他的不良影响,下次再说
    yankebupt
        63
    yankebupt  
       117 天前
    @as9567585 当然现在云服务商的小机好多没有内网 IP 了,估计也是防人这么用跳板防 D ,自己的高防就卖不出去了,找找看,可能有些还是有的
    yankebupt
        64
    yankebupt  
       117 天前
    @as9567585 大家都是懂的,给不懂的解释下:
    相当于买个云服务集团号,有人要访问,交钱,给你在名下开小机跳板,访问是内网 IP 访问的,不暴露 IP
    你要公网 D ,只能把你自己的那台机器 D 死......
    理解了么
    我记得还真有人这么干过
    Cify
        65
    Cify  
       117 天前
    @hoopan 拿到的 ip 应该可以提交到某些组织吧? 类似邮件的 Black list? 这样下次这些 Ip 肉鸡上网都不能上.
    qwerzl
        66
    qwerzl  
       117 天前
    Fail2ban 以及 Crowdsec 。都是很好的防 DDoS 工具。
    Fail2ban 主要是监控你 nginx/httpd/caddy 之类的 log ,同 ip 出现太多失败登陆就改 iptables 把它封了。
    Crowdsec 是 19 年新出来的产物。(前两个小时 A 轮融资成功来着)主要是所有装 crowdsec 的机器一起建立一个 ip filter 。

    个人建议用 crowdsec 吧。毕竟有些客户忘记密码多输几次也不是没有可能😂
    kennylam777
        67
    kennylam777  
       117 天前
    @qwerzl 你說的是 brute-force 不是 DDoS 好吧
    icy37785
        68
    icy37785  
       117 天前
    @qwerzl 这两个都是跟防 DDos 没关系的工具。
    mio2022
        69
    mio2022  
       117 天前
    cloudflare 成本相对小一点防 ddos ,但是对国内访问有时不友好
    as9567585
        70
    as9567585  
    OP
       117 天前
    @yankebupt "想访问?自己实名买云服务器小机当跳板去。" 😂 这是开发的什么服务,还要用户自己买跳板。。 一般的互联网不会这样啊
    zbzzh
        71
    zbzzh  
       117 天前 via iPhone
    套 cdn 啊,ddos 基本上无限防,只不过不好防 cc
    ch907941189
        72
    ch907941189  
       117 天前
    拔网线 物理屏蔽
    Features
        73
    Features  
       117 天前
    一直很好奇,DDoS 利用的是 HTTP 的 Features 还是 Bug 呢?
    B1acKy1in
        74
    B1acKy1in  
       117 天前
    两个主要思路
    B1acKy1in
        75
    B1acKy1in  
       117 天前
    直接拉闸或者价钱(怎么没打完就发出去了
    yankebupt
        76
    yankebupt  
       116 天前
    @as9567585 阿里云之前有一小段时间真是这样的,那时有统一阿里内网 IP ,不管谁买的云服务器互相之间可以内网互访,然后用户可以买一台阿里小机,内网 IP 访问一堆买不起高防 DDOS 所以不公开公网 IP 的服务,反正不怕被 D 。

    后来就把这个功能取消了。全是专网 IP 不互通了

    你可以翻翻相关的帖子,应该还在。
    xzysaber
        77
    xzysaber  
       116 天前
    @Features 不是 HTTP ,应该说是网络层。这算一种设计缺陷吧。
    xzysaber
        78
    xzysaber  
       116 天前
    @xzysaber 传输层。
    Features
        79
    Features  
       116 天前
    @xzysaber 打错了,我想说的是 TCP/IP
    edis0n0
        80
    edis0n0  
       102 天前
    @yankebupt #60 ”强迫 DDOS 者花正价买流量“? 1. 不管国内外云厂商的流量都是后付费的 2. 阿里云随便一台 ECS 下行带宽都是 G 口 3. 阿里 /腾讯云找代理买企业实名号只要几十块钱甚至免费送,有的小机场老板每个月欠费几十万,封了就换
    yankebupt
        81
    yankebupt  
       102 天前
    @edis0n0
    1.对,后付费,但是不实名没交够多少钱的野鸡账号全是预付费
    2.对,是 G 口,但是是实名的,D 一次永远别想用了
    3.对,是几十块,但要你自己充流量进去,是后付费但你要缴保证金先升级账户资格,而且一旦被封身份证就废了,云厂商会帮着你封,有人卖给机场,因为有钱赚,没人卖给 D 人的,而且是 D 内网这种全程证据链直达公安没技术含量的。
    yankebupt
        82
    yankebupt  
       102 天前
    @edis0n0 被外网 D 了,没处说理去。被内网 D 了,直接客服一封邮件 D 源断网自己发手机短信解封去。D 人? D 你自己呢吧。
    onice
        83
    onice  
       82 天前   ❤️ 1
    DDOS 本质上是成本的对抗。这种攻击方式经久不衰,就是因为防御成本远高于攻击成本。

    想在被攻击时不影响业务,就老老实实上流量清洗。

    还有个办法是套一层 CDN ,隐藏自己真实的 IP 。不过聊胜于无吧,被攻击的时候会消耗掉你大量的 cdn 流量,银子哗哗往外流。

    对于成规模的企业,对抗 DDOS 攻击的办法也只能是做好预案,在遭受攻击的时候,按照预案接入到指定运营商的流量清洗。

    DDOS 基本上无解。只能花钱去对抗。
    as9567585
        84
    as9567585  
    OP
       47 天前
    @onice 请教下,这种流量清洗一般说的是对 cc 攻击的吗? 像 syn flood 这种可以清洗出来吗 ?
    onice
        85
    onice  
       45 天前   ❤️ 1
    @as9567585 CC 攻击是攻击者频繁访问网站某个对服务器资源消耗比较大的页面,让服务器超负荷运转,浪费服务器的系统资源,达到网站未响应的目的。CC 攻击不堵塞服务器带宽,也不是分布式的,所以一般使用 WAF (网站应用防火墙)就能防护,比如阿里云的云盾就有该功能,当某个 IP 短时间内大量请求网站,IP 就会被封禁。比如像安全狗这类防护软件也能很好的保护网站遭受 CC 攻击。

    syn flood 的目的是消耗目标服务器的带宽资源,不像 CC 攻击那样,消耗的是服务器的系统资源。所以,防御 synflood 的方法就是需要一台服务器做中转,该服务器的带宽要大于攻击流量。在中转流量的时候,做一次过滤,筛选出真正的访客,并将流量重定向到网站服务器上。

    举个例子:攻击者的肉鸡集群是 A ,攻击的目标网站是 B 。假定攻击流量为 50G ,,但目标网站带宽却只有 10G 。当 A 向 B 发起请求后,A 的流量 50G ,大于 B 的承受最高流量 10G 。B 的带宽被占满,,此时 B 原有的正常用户就 i 无法访问 B 了。A 向 B 发起多长时间的请求,B 的业务就要中断多长时间。

    如果有一台主机 C ,做中转。这样流量的路径都成为了:A 访问的是 C ,C 再把流量转给 B 。当主机 C 的带宽足够大,能够抗下来 A 的所有流量,C 只需要从流量中甄别出非攻击流量,,只把合法的流量转给 B 。这样就能防御了。syn flood 只是其中 A 向 B 发起攻击的请求方式。当 A 的带宽足够大,A 采用任何攻击请求方式都能消耗掉 B 的带宽。当 C 的带宽足够大,A 用任何攻击请求方式都无法消耗掉 C 的带宽。流量清洗的原理就是这样,万变不离其中。其中的重点是带宽之间的对抗。

    所有,流量清洗可以防止所有类型的 DDOS 攻击。前提是流量清洗服务的带宽大于攻击流量。既然 C 能够做中转,并甄别出合法流量,,它自然也能获知某个 IP 的请求频率,,所以流量清洗也能防御 CC 攻击。
    as9567585
        86
    as9567585  
    OP
       45 天前
    @onice 感谢详解
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   1335 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 55ms · UTC 11:18 · PVG 19:18 · LAX 03:18 · JFK 06:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.