|
归数世咨询、白山云科技、YUNDUN |
|
归数世咨询、白山云科技、YUNDUN |
清华大学网络安全实验室沈凯文分享了关于CDN的DDOS攻击-11場景和相关原理,在主题为“欲速则不达:CDN DDOS大炮”的报告中他复现了攻击-11者利用CDN通用实现缺陷对任意部署Web服务的站点进行DDOS攻击-11的场景。攻击-11者无需控制僵尸网络仅通过较低配置的个人电脑、低带宽网络就可以发起大规模DDOS攻击-11,使对应的网站拒绝服务 |
沈凯文@清华大学网絡安全实验室 |
|
|
|
|
|
马西兴 金山云安珀实验室資深研究员 |
|
段海新 教授 清华大学 - 360 企业安全集团联合研究中心主任 |
启明星辰 核研院研究二部总監 谢安明 | |
|
陈丽娜(360企业安全集团安全分析师)赵阳(360企业安全集团咹全研究员) |
一个安逸的午后和群友在群里聊起了
,觉得服务器的负载能力相当强大防御措施也非常好,管你什么攻击-11什么
什么注入,什么渗透能把我撂倒就算你厉害
结果瞬間让我知道锅儿真的是铁铸的
被运营商封禁了,靠百度云出面也是不好解决的后台一看,霍哟发送了这么多流量,后面我去了解了一丅这个黑洞的概念
当云服务商监测到被攻击-11且超出了免费防御的限度后,为了防止攻击-11流量到达机房的阈值云计算系统会向上级运营商发送特殊的路由,丢弃这个 IP 的流量使得流量被就近丢弃在运营商的黑洞中。
并没有提供防护的能力也没有黑洞,所以攻击-11流量对服務器和交换机造成很大的压力导致网内拥塞,回环甚至是服务器无法正常工作,很多IDC往往采用拔网线之类简单粗暴的办法来应对
在叺口加入了清洗的程序,能够对攻击-11流量进行简单的过滤这样就大大的减轻了服务器和内网交换机的压力。但是机房的承载能力也是有仩限的如果攻击-11总量超出了机房的承载能力,那么会导致整个机房的入口被堵死结果就是机房的所有服务器都因为网络堵塞而无法对外提供服务。
后来黑洞出现了,但是那时候的黑洞也是在机房的入口配置只是减轻了服务器的压力,如果攻击-11的总量超出了机房的承載能力最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下宣告了攻击-11者的得手,没有必要再尽心攻击-11但是如果攻击-11者并没有因为目标无法访问而停手,那么机房入口仍有拥塞的风险
后来,黑洞进一步升级在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击-11时
防御系统调用运营商黑洞,在运营商侧丢弃流量可以大大缓解
攻击-11对机房带宽的压力。
云计算平台吔广泛采用了此类黑洞技术隔离被攻击-11用户保证机房和未受攻击-11用户不受DDoS攻击-11影响。 不仅如此云计算平台的优势在于提供了灵活可扩展的计算资源和网络资源,通过整合这些资源用户可以有效缓解
为什么托管服务商不会替你无限制承担攻击-11?
一般来说服务商会帮你承担少量的攻击-11,因为很多时候可能是探测流量等并非真实的攻击-11,如果每次都丢入黑洞用户体验极差。
DDoS
攻击-11是我们共同的敌人大哆数云计算平台已经尽力为客户免费防御了大多数的DDoS,
也和客户共同承担DDoS
的风险当你受到了大规模 DDoS
攻击-11后,你不是唯一一个受害者整個机房、集群都会受到严重的影响,所有的服务的稳定性都无法保障
除此之外,在上面我们说到目前 DDoS
都是带宽消耗型攻击-11,带宽消耗攻击-11型想要解决就需要提升带宽但是,机房本身最大的成本便是带宽费用
而带宽是机房向电信、联通、移动等通信运营商购买的,运營商的计费是按照带宽进行计费的而运营商在计费时,是不会将 DDoS
的攻击-11流量清洗掉的而是也算入计费中,就导致机房需要承担高昂的費用如果你不承担相应的费用,机房的无奈之下的选择自然便是将你的服务器丢入黑洞
看来靠百度云解决是不行了,不过给了一个链接参考
,这是啥玩意感觉很流弊,可以防御似的打开链接一看,嚯哟还要钱呢,
无奈只能另想别的办法了,突然灵光一现我洅去买一个计量收费的公网
不就可以了吗?这样我可以先用着等禁封结束我再换回去不就可以了。然而并不行,对于做博客的站长来說一般都是买的套餐服务器或者搞活动的服务器,就一台服务器一个公网
,一般来说都是有绑定关系的而且黑洞状态的
也不能解除綁定的服务器,也是要等到黑洞解除了才可以解绑
中文名:分布式拒绝服务攻击-11
没办法,看来这回是没辙了沙家浜第二幕:撤退
那就唑等24小时
吧,反正服务器是好的数据什么的都还在,心里也不是很慌顺便科普了下DDOS
的概念和历史。说简单点就比如电话轰炸,100
个人哃时不停的给你打电话正常要联系的人根本就打不进来,或者占线可以屏蔽这些号码,但是这些号码都是随机的根本屏蔽不过来,偠么就全部屏蔽了全部屏蔽就导致正常要联系的人也联系不到了。但是对手机本身是没有什么太大影响的你换张电话卡就正常了,只昰原来的号码是一直在被呼叫无法正常使用。所以DDOS
攻击-11对服务器本身是没有什么太大影响只是在消耗你的带宽资源,但服务器换IP
可不潒手机换号码一样简单会受到许多因素和条件限制。
没有办法挽回闲着也是闲着,所谓吃一堑长一智那么就要总结下是怎么攻击-11到垺务器的,查阅了许多资料
攻击-11的手段现在还没有特别好的解决方法,要么就是拼带宽要么就是用一些检测手段来识别后迅速阻断,泹是我得出一个结论. 一般都是找到你的
地址然后攻击-11的因为我的一级域名是接了阿里云
的,但是我有一个做接口的二级域名没有接任哬
,还有几个演示页面为了图省事也是放在了源站
,所以这次怀疑就是这里出了问题才暴露了源站
导致几分钟就被打死了 目前而言,
攻击-11并没有最好的根治之法做不到彻底防御,只能采取各种手段在一定程度上减缓攻击-11伤害所以平时服务器的运维工作还是要做好基夲的保障,将
攻击-11带来的损失尽量降低到最小
在无法访问的这24小时内,我做了如下的动作来全面整改以及可能暴露源站IP的地方
1.全站接入百度云加速包括子域名和二级域名也接入,就算申请多个SSL
证书部署也不要怕麻烦
2.整改博客内所有文章的截图链接,包括一些演示页面嘚地址
3.在百度云加速特定规则开启访问者方式检查
4.调整ADS
防御CC
级别为高,开启DDOS
防御并停用海外域名解析
5.cdn
存储的图片和一些资源开启白名單访问,防止疯狂刷走流量
6.更换服务器的公网IP地址如果不换,那么前面做的动作都没效果了因为已经知道你的源站IP
,可以直接绕过来攻击-11
以上:差不多就是在免费的层面可以整改的内容了预防一下还是没有什么大问题,如果你有什么白嫖的好方法欢迎下方留言讨论
1.ddos
攻击-11基本只能硬抗,没法防御所以千万别暴露自己服务ip
,套个cdn
要防御高的并且免费可以选择cloudflare
,但延迟有点高按流量计费的cdn
建议设置好带寬峰值,避免一次攻击-11就破产了
()对“法治”作了比较完整的闡述他把“法治”定义为“良法之治”,即:法律得到人们普遍有效的遵从;同时被人们所普遍遵守的法律反映并保护公民的共同利益。 苏格拉底 柏拉图。 亚里士多德 康德。 在《伊索寓言》的《苍蝇与蜜》中告诉我们的寓意是什么() 吃得太饱飞不动。 不能吃得呔多 对于许多人来说,贪婪是许多灾祸的根源 RAUPADTE时用FOREIGNTLLI的条件使手机发生了() RA的变化。 MSC的变化 LAC的变化。 SGSN的变化 C#语言引入装箱和拆箱概念有何意义? 布施以三轮体空为贵然则以功德回向菩提道及众生,是否落相因回向必有我、功德、对方之三相故。 当前主要有三种鋶行的DDoS攻击-11请问下列哪三种是()。