解决 ddos/cc 攻击的完美解决方案(可惜国内未推进)

2022-10-10 10:01:51 +08:00
 8520ccc
和 cf 一样做 anycast 就可以了

例如 CDN 在全国 34 个省市都设立机房,然后用同一个 IP

例如:6.6.6.6
然后上海移动的用户直连上海移动的 CDN 边缘节点
也只有上海移动的用户能直连到上海移动的 CDN 边缘节点

这样的话,上海移动如果被攻击 ddos ,也只有上海移动的 IP 才能实施,其他区域的 IP 都不可能攻击到

而即使上海移动有一定攻击量,也很难打动……

因为这时候消耗的都是省内 /市内的宽带,成本很低……

这时候只需要在边缘节点上过滤一遍攻击流量 /CC 请求

再将正常的请求推到源站就好了(这样也能节省一部分跨省甚至跨国的攻击流量,节省成本)

而现在国内的 CDN 都是一个机房一个 IP 段

如果被攻击,全球的攻击流量都能到……

这样应该完全是有利无弊的,不知为何不推进这项技术……
5889 次点击
所在节点    信息安全
38 条回复
julyclyde
2022-10-10 10:06:36 +08:00
你知道 ddos 第一个 d 字啥意思嘛?
你知道各服务商都有 anycast 吗?
cxh116
2022-10-10 10:11:33 +08:00
GEODNS 一样可以实现你这样的效果,虽然 IP 不同,但效果跟你说的这操作差不多.

流量足够大, CDN 被打穿,全回到源,一样挂,只是攻击成本的问题.
xiao109
2022-10-10 10:26:57 +08:00
错觉之一,这么好的方案怎么只有我想到了
aoling
2022-10-10 10:39:34 +08:00
就近处理,分布式清洗攻击流量,各运营商都有这个技术的呀,

最终还是要有人抗下这些流量的
Depth
2022-10-10 10:48:14 +08:00
成本问题,另 anycast 该技术国内各家好几年前就开始提供该技术的防御 IP 了,国内碍于成本没法平衡而已。
Xusually
2022-10-10 10:55:50 +08:00
这……不然 op 认为现在的高防 cdn ,高防 ip ,分布式流量清洗是怎么实现的,都是类似的技术,不过就是要付出多少成本而已。
dingwen07
2022-10-10 10:57:18 +08:00
Anycast 是让每个区域的肉机只能攻击当前区域的服务器,理论上确实是要比 GEODNS 更好的
不过话说国内 DDoS 的肉机都是哪来的。。。
songpengf117
2022-10-10 10:57:39 +08:00
试看区块链技术能不能完美解决 ddos/cc 攻击
Jamy
2022-10-10 11:00:06 +08:00
@songpengf117 这也能用区块链技术解决?
AA5DE3F034ACCB9E
2022-10-10 11:04:29 +08:00
@Jamy 区块链包治百病
mhycy
2022-10-10 11:07:01 +08:00
先看看国内的 BGP 接入价格再来讨论扛 DDOS 的问题,运营商不中立结果就是 BGP 带宽价格高得飞起
另外,还有基于 BGP 的 DDOS 流量重定向清洗方案
参考 https://www.akamai.com/zh/products/prolexic-solutions
因为 BGP 接入的困难性,这东西在国内难以普及
julyclyde
2022-10-10 11:31:30 +08:00
@Jamy 5G 区块链 人工智能 物联网 能上的全给他上
最后再做个大屏幕,声光电
bobryjosin
2022-10-10 12:37:22 +08:00
@julyclyde buff 叠满哈哈
nightwitch
2022-10-10 13:24:25 +08:00
cdn 不用收费的吗。。
也许你源站确实抗住了,DDOS 没把你源站打死,结果月底一看 cdn 账单 20 万,这也算解决 ddos 了吗
lambdaq
2022-10-10 13:25:57 +08:00
@julyclyde 这大屏幕还必须是 VR 的。
mm163
2022-10-10 13:28:24 +08:00
@julyclyde 有那味了。
ZeroClover
2022-10-10 13:29:36 +08:00
@nightwitch 实际上利用防御成本远高于攻击成本来迫使因为账单问题导致网站下线也是 DDoS 的目的之一
8520ccc
2022-10-10 13:47:49 +08:00
@nightwitch 真的有大的 CDN 服务商提供这种方案了 直接防御免费了,因为基本不可能打死

攻击无效

参考 cloudflare (无限防且服务免费。。。)

现在被攻击 CDN 贵的原因正是因为没有实施这项技术 导致被攻击清洗时成本极高(且有可能被打死)
8520ccc
2022-10-10 13:50:23 +08:00
@mhycy 运营商的问题吧 说难度什么的我认为都不存在,这些都已经有成熟的应用了,照猫画虎,技术上肯定不是很难的

但是中间就是依赖于运营商 人家不配合你只能看着。。
8520ccc
2022-10-10 13:53:33 +08:00
@julyclyde 国内的 CDN 基本都用过

阿里 /腾讯 /百度 /百度云加速 /华为(而我主要指的是这些主流的大的 CDN 服务商)

基本都不是这个实现,都是通过 DNS 进行分区的。。。。。

阿里 /腾讯 倒是都有这项业务 但是都是提供海外的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/885697

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX