最节省成本抵御网络攻击(ddos、cc 等)的手段是?

2024-01-03 18:46:16 +08:00
 manami
准备在这几年把自己的一个网站迁回国内,现在用的 cloudflare cdn 对国内极其不友好,速度慢如蜗牛。但这也意味着要脱离 cloudflare ,没了 cloudflare 的保护,后续一堆网络恶意攻击会接踵而至。自己对网络攻防了解不深,最近调研了一些抵御手段,比如使用 fail2ban 、自建 cdn 等。可以确定的是,市面上的 cdn 太贵是用不起的。后续因为是要注册公司,合法经营,服务的对象主要是国内用户,或者可不可以完全屏蔽国外 ip 段,后续如果遭受攻击,攻击源头来自于国内,产生较大影响直接 bao jing 处理有没有用?网上可参考的太少了。

不知道在这方面有没有类似经验的 v 友,求给一些解答和建议,小成本创业需要考虑的实在太多了,网络攻击就是头疼的事
6507 次点击
所在节点    程序员
57 条回复
XiLingHost
2024-01-04 01:18:02 +08:00
对抗 ddos 最好的方案应该是分布式服务,去中心化就不怕 d 了
QinYu0226
2024-01-04 05:58:33 +08:00
一个新思路,开发客户端 App 。客户端可以用非标准的端口连接真正的业务。
比如在 3306 端口搭建 HTTPS 服务,攻击者都以为这是 SQL 端口但其实是前端。22 端口搭建 MySQL 同样道理。
而关键的就是普通的浏览器默认是不允许链接这些端口的,比如浏览器会默认 21 就是 FTP ,22 就是 SSH ,53 就是 DNS 。
所以你需要专门做一个客户端强制用 22 或者 53 端口作为 HTTPS 来进行连接。

这是其实是很多 黄 站 会用的方法。不是硬抗而是躲避,端口都是反直觉的,不会让你猜到这是什么服务。所有非客户端的访问都是直接 ban 。
pengtdyd
2024-01-04 07:59:03 +08:00
ddos 你怎么知道这个不是云厂商自导自演的行为呢?
Chuckle
2024-01-04 09:14:33 +08:00
凉拌,看保服务还是保钱包了,现在各家 cdn 的异常停止和通知至少都有 5 分钟以上延迟,黄花菜都凉了,我用着的 edgeone 个人版也没承诺能防护多少,最低成本就裸服务器扛吧,部署上 WAF ,找找高防算法用,至少服务器处理不过来的时候就死掉了,给你拔网线的时间,用 cdn 的话,把大陆外的 ip 都 ban 了,qps 设置好,国内攻击还是有点成本的
dedemao
2024-01-04 09:36:58 +08:00
硬抗
dode
2024-01-04 09:39:20 +08:00
隐藏服务,docker 部署,限制单个服务 cc 请求处理资源

要求登录,隔离拆分部署,不同用户服务器资源相互独立
zenghx
2024-01-04 09:59:50 +08:00
关机
zx900930
2024-01-04 10:00:21 +08:00
小公司一定要用资费封顶,超出断服务进黑洞那种的。
最难受的就是大公司,不能中断服务的那种。
因为流量刷起来,你的资费很容易就炸了。
dedemao
2024-01-04 10:00:57 +08:00
换 IP ,阿里云有弹性 IP ,5M 带宽的一个 IP 一天也就 4 元钱,打死一个再换一个。从买 IP 到绑定网卡,再到域名解析到新的 ip ,一系列操作都提供 API
cokey
2024-01-04 10:56:54 +08:00
最好的办法就是 CDN ,然后直接挂工单找客服,去申请关闭欠费保护期即可,我用的七牛云就是这样关的
fionasit007
2024-01-04 11:28:23 +08:00
一般的站也没有搞的,要是遇到专门有人搞的,没钱就没办法,waf 啥的只能防防手贱的,cdn 之类的增值服务都需要花钱的,我们之前 cdn 没做监控一晚上被烧了几个 w ,后面天天流量攻击,全是正常 ip 轰炸的,防火墙没有一点办法,只能花钱买流量扛,
fionasit007
2024-01-04 11:31:06 +08:00
@pengtdyd 是不是云平台故意的不清楚,我们前一阵阿里云 cdn 被攻击了,二话不说换了个平台,内部打折比阿里云便宜哈哈
fionasit007
2024-01-04 11:32:47 +08:00
@SculptureSand 要上 cdn 的话把监控加好,阿里云可以设置带宽封顶,到顶了指定停止服务
Features
2024-01-04 11:42:48 +08:00
买个小 IDC 的高防吧,一般就两三千一个月
对比阿里云一个月最低 1.8w 已经很便宜了
QKgf555H87Fp0cth
2024-01-04 11:44:19 +08:00
@Features 一个月 6 万,1.8w 是两三次,根本不够用。
opengps
2024-01-04 11:48:43 +08:00
多个 ip ,多个域名,分别对外提供完全相同的服务,这样即使被打,也需要对方有足够多的资源去调动
0o0O0o0O0o
2024-01-04 11:50:18 +08:00
不知道你们的规模,我提个我自己在用的:

- 只用微信生态提供服务,放弃 Web 、原生,用 https://developers.weixin.qq.com/miniprogram/dev/wxcloudrun/src/basic/overview.html#%E4%B8%89%E3%80%81%E4%BC%98%E5%8A%BF-%E7%89%B9%E7%82%B9
- 抗 D ,你 D 微信去吧
- cc 成本高,只要腾讯云不出漏洞,无效流量都被清洗了,落到你后端的请求都对应真实的微信号,报警了溯源成功的可能性也更高(仅是个人感觉,至少比海量肉鸡 IP 好溯源吧?)
- 支持设定 callcontainer 的扩容上下限,相当于设定了实例消费上限
- 存储等按量付费的自己想办法,自己模拟下怎么才能被攻击时不被刷爆
- 真拔线了也不怕和用户失联,可以上线个公告

成本有限就依托大公司,海外有赛博菩萨 Cloudflare ,国内没有平替,那就牺牲一点开发体验选微信吧
oudemen
2024-01-04 12:13:07 +08:00
云厂商的 slb 都有免费 ddos 流量额度,比如阿里云是 5G ,域名解析到多个 slb 上,每次攻击一般只攻击其中一个 IP ,所以剩下的还能正常提供服务。被攻击后,立刻停止对应 slb 的解析或者更换一个新 slb 。 影响会降低很多,这一切可以搞成自动的。这是我想到最低成本的方案。
0o0O0o0O0o
2024-01-04 12:20:00 +08:00
@0o0O0o0O0o #37 可以说我低成本防护的核心思路就在入口,只要你还保留着域名的概念,就不要想着低成本解决了

有什么低成本难溯源的攻击思路也可以指出来讨论一下
kkkbbb
2024-01-04 13:46:14 +08:00
@wheat0r hhh

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1005595

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX