大多数互联网公司的业务主要依赖在线服务,DDoS攻击作为最简单有效的攻击手段,经常被黑产作为攻击互联网在线服务的首选。本文以甲方的视角介绍下常见的抵御DDoS攻击的手段以及甲方经常遇到的一些问题,希望可以帮助到大家。中培伟业《黑客攻防于信息安全技术实战》专家袁老师在这里对此进行了详细介绍:
什么样的网站容易遭受攻击?
从现实的角度来看,哪家网站的知名度高,受到攻击的几率也越大,前年打P2P,去年打直播,DDoS攻击的背后多是恶性商业竞争,以不大的成本可以让竞争对手业务中断,造成巨大损失,性价比不可谓不高。
哪些时段容易遭受攻击?
理解了攻击动机后,其实很容易总结何时容易被攻击:
(1)新产品发布,比如罗老师发布锤子那次
(2)大型市场活动,比如电商的双十一和双十二
(3)业务高峰期,比如直播和在线教育业务的晚上
DDoS攻击的成本
用安全圈的一句话,在国外打垮一个网站需要一顿自助餐的钱,在国内只需要一顿快餐的钱。随便在某及时通讯软件里面一搜,DDoS攻击的类型非常多,但从甲方角度和结果来说只有两种:
(1)流量型攻击,就是把你带宽打满,用户无法正常访问导致业务中断,衡量单位是G;
(2)CC攻击,就是把你重要的接口服务打死,流量不一定很大,但是请求速率一般很大,比如登陆、下单、支付等,衡量单位是QPS。
硬件防火墙和WAF可以抵御DDoS攻击吗?
这是个开放性的问题,需要区分不同情况(这里的机房带宽指的是机房给你分配的带宽):
(1)如果是流量型攻击,攻击流量小于机房出口带宽时,具备防DDoS攻击能力的硬件防火墙和WAF可以抵御;攻击流量高于机房出口带宽时,只能遗憾了。
(2)如果是CC攻击,攻击流量小于机房出口带宽时,具备防CC能力的硬件防火墙和WAF可以抵御;攻击流量高于机房出口带宽时,只能遗憾了。
遗憾的事,相当一部分DDoS攻击轻松上几十G,用户购买的出口带宽上1G的都不多。可见,面对现实中的DDoS攻击时,本地的硬件防火墙和WAF作用有限。
常见的抗D手段有哪些?
从甲方角度讲,可以按照抗D设备/服务部署的位置分为:
(1)自购带有抗D抗CC功能的硬件防火墙或者WAF
(2)机房的流量清洗服务,比如高防机房
(3)云安全厂商的云抗D服务(CDN厂商提供的流量清洗服务也算这种情况)
(4)运营商(比如电信云堤)的流量清洗服务
云抗D是啥原理?
云抗D服务和CDN接入原理类似,使用的是所谓替身防护的技术。用户在DNS服务器上将需要保护的web服务的域名指向云抗D中心提供的高防IP或者CNAME域名,云抗D中心将访问该web服务的请求再转发给用户的业务服务器,相当于充当了一个nginx反向代理,针对该web服务的攻击会被云抗D中心清洗,正常的用户请求才会转发给用户的业务服务器。
使用云抗D黑客直接打IP咋办?
问题也就来了,黑客如果直接攻击用户业务服务器的IP,就会绕过云抗D中心。为了防止这种情况出现,最简单的解决方案是,用户的业务服务器提供两个IP,IP1是平时使用的,对外暴露,IP2平时不使用,同时限制IP2仅允许云抗D中心的IP段访问,一旦切入云抗D中心后,联系机房拉黑IP1,同时启用IP2即可,通常IP1和IP2可以指向同一服务器或者负载均衡。
使用云抗D后如何获取客户端真实IP?
这个和使用CDN情况类似,比较常见的解决方案是在http协议层携带客户端的IP,比如x-forwarded-for字段。
三线与BGP抗D的区别是什么?
在国内现实的问题跨网访问的巨大延时,为了解决这个问题,通常有两种简单办法,一个是申请联通电信移动三网的IP资源,一个是使用相对昂贵的BGP资源。对应的抗D云服务也提供了三线和BGP服务,本质上区别就是一个需要做分区解析,一个不用,价格上一般BGP高防会贵些,从跨网访问来看两者都不错。