鏈路頻寬
增加頻寬,大部分極少ddos防禦策略的文章裡似乎很少提及這一點,但確實以上所有防禦的基礎,例如第二層次的cdn實際上就是拼接頻寬,很多大型企業選擇自建cdn,本質上就是紫荊增加頻寬的行為.處理cdn之外,要保障dc出口的多isp鏈路,備份鏈路,到下層交換機的寬頻都不存在明顯的單點瓶頸,否則抗ddos的處理性能夠了,但是流量流經狗哥節點時突然把乙個雜牌交換機壓垮,最後的結果還是表現為有問題.
對運維經驗成熟的網際網路公司而言,一般都有能容管理,對於**活動,高峰時段的頻寬,idc資源的波峰波谷都有預先的準備,ddos防禦主要是消除這些網路方案中內在的單點瓶頸.
不同型別的企業
ddos的防禦本質上屬於資源的對抗,完整的4層防禦效果雖好,但有乙個明顯問題就是tco,這種成本開銷處理網際網路行業排名前十的公司以外的公司都是吃不消的.或者就算是付的起錢,子啊it整體整體投資的佔比會顯得過高,付得起不代表這種投資是正確的,所以針對不同的企業分別描述ddos緩解方案的傾向和選擇性.
破防和反制
從安全管理者的角度看,即便是擁有完整的4層防禦機制也並非無懈可擊,號稱擁有400-500g防護能力的平台是完全有可能被打垮的,完全的防護能力是建立在人,策略,技術都生效的情況下才有用的,如果這些環節出了問題,anti-ddos的整個過程可能會失敗,例如下面的問題
超大流浪攻擊時需要用到黑洞路由,但黑洞路由的ip需要由防禦方制定和聯動,」聯動」的過程就是向上游裝置傳送封禁ip的通知,如果介面不可用,那麼這些功能就會失效,所以isp級的防禦是由失效的可能性的.
cdn雲洗流服務一倆與清洗的伺服器廠商接管網域名稱解析,如果雲清洗服務廠商本身的dns不可用,也導致這一層面的防禦失效,抗d廠商並不是無懈可擊.
ads平時不一定串聯部署,但攻擊引流後一定是部署在前端裝置,假如這個裝置本身存在dos的可能,即使時觸發了bypass也相當於防禦完全失效,另一方面策略下通常是ads裝置跟管理節點想通,如果管理節點出現可用效能問題,也將導致ads防禦的一系列問題.
超大流量攻擊需要人工干預,最基本的需要是安全或運維人員能在辦公網路連線到ads的管理節點,能遠端運維ads裝置,如果此時辦公網路的運維管理鏈路出現故障,不僅切斷了人員操作,還會把現場應急的緊張氣氛提公升乙個星級,使人手忙腳亂.
以上並不在於提供攻擊思路,而是在與想anti-ddos方案的制定者提供另類視角以便於審計方案中的短板.
立案與追蹤
目前對於流量2g以上的攻擊都是可以立案的,這筆過去幸福得多,過去沒有本土特色的資源甚至沒發立案,但是立案只是萬里長征的第一步,如果逆向找到人,就必須完成一下步驟:
在海量的攻擊中,尋找倒推線索,找出可能是cc伺服器的ip或者是相關網域名稱
黑吃黑,斷掉cc伺服器
通過登入ip或借助第三方apt的大資料資源(如果你能得到的化)物理定位攻擊者
陪警察叔叔上門抓捕
上法庭訴訟
如果這個人沒什麼特殊身份,也許你能如願以償,但假如你遇到一些特殊人物,你幾個月都白忙乎了.而黑吃黑的能力就比較依靠你們安全團隊的滲透攻擊能力了,而且你們安全團隊還得有時間,這個過程對於很多企業來說成本還是比較高的,關有實力的安全團隊就可以砍掉絕大對數公司.很巧的是我乙個人能做整個團隊的事情
防禦DDOS攻擊
伺服器防禦ddos攻擊有什麼比較好的方法,其實這種攻擊一般來說是一種兩敗俱傷的局面,想要發起這麼一場大規模的攻擊作為黑客來說要承擔非常大的損失,因為要調動這麼多的ip位址同一時間去訪問某乙個伺服器的ip位址,這本身就需要非常強大的能量才可以辦得到,所以這種攻擊一般只是針對一些有價值的目標,而那些沒有...
DDoS攻擊介紹,如何防禦DDoS攻擊
分布式拒絕服務攻擊 ddos攻擊 是一種針對目標系統的惡意網路攻擊行為,ddos攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。常見的ddos攻擊包括以下幾類 建議阿里雲使用者從以下幾個方面著手緩解ddos攻擊的威脅 優化業務架構,利用公共雲的特性設計彈性伸縮和災備切換的系統。提供餘...
nginx防禦DDOS攻擊
防禦ddos是乙個系統工程,攻擊花樣多,防禦的成本高瓶頸多,防禦起來即被動又無奈。ddos的特點是分布式,針對頻寬和服務攻擊,也就 是四層流量攻擊和七層應用攻擊,相應的防禦瓶頸四層在頻寬,七層的多在架構的吞吐量。對於七層的應用攻擊,我們還是可以做一些配置來防禦的,例如前端是 nginx,主要使用ng...