解决 ddos/cc 攻击的完美解决方案(可惜国内未推进)

2022-10-10 10:01:51 +08:00
 8520ccc
和 cf 一样做 anycast 就可以了

例如 CDN 在全国 34 个省市都设立机房,然后用同一个 IP

例如:6.6.6.6
然后上海移动的用户直连上海移动的 CDN 边缘节点
也只有上海移动的用户能直连到上海移动的 CDN 边缘节点

这样的话,上海移动如果被攻击 ddos ,也只有上海移动的 IP 才能实施,其他区域的 IP 都不可能攻击到

而即使上海移动有一定攻击量,也很难打动……

因为这时候消耗的都是省内 /市内的宽带,成本很低……

这时候只需要在边缘节点上过滤一遍攻击流量 /CC 请求

再将正常的请求推到源站就好了(这样也能节省一部分跨省甚至跨国的攻击流量,节省成本)

而现在国内的 CDN 都是一个机房一个 IP 段

如果被攻击,全球的攻击流量都能到……

这样应该完全是有利无弊的,不知为何不推进这项技术……
5913 次点击
所在节点    信息安全
38 条回复
8520ccc
2022-10-10 13:54:29 +08:00
@xiao109 绝非此意 我只是好奇这么好的方案为何这么久都未被国内主流 CDN 服务商启用
8520ccc
2022-10-10 13:56:06 +08:00
@Depth 或许正是因为这项技术完全依赖于运营商 被垄断 所以价格设定很高吧 溢价很高。。。。

或许这样更赚钱。。。。。。。。。。。。。。。。。。。。。。。。。
8520ccc
2022-10-10 13:57:13 +08:00
@aoling 分开来扛还是很轻松的。。。。国内大的 CDN 服务商基本每个省 直辖市都有节点。。。
8520ccc
2022-10-10 13:59:03 +08:00
@cxh116 完全不同啊 我全部流量集中打你一个区域的节点就好了(一个个摁过去)

例如就打你上海电信的节点 全球 500G 流量过来 你上海电信就得有这么多宽带吃得下才行吧

但是如果是 anycast 得你上海得攻击流量有这么多才行了。。。。
mytsing520
2022-10-10 14:41:13 +08:00
@8520ccc
#20
原因 11 楼讲的很清楚了,费用,费用,费用。
你自建一套 BGP+AnyCast 的成本,和运营商直签,用运营商的线路,至少 10 套节点都有了。
julyclyde
2022-10-10 14:56:15 +08:00
@8520ccc anycast 要加钱啊
DNS 分区可以提供更精细的调整能力
qwvy2g
2022-10-10 15:01:46 +08:00
为什么不在用户侧部署联动设备自动阻断?
loukky
2022-10-10 15:03:56 +08:00
anycast 并不是国内没有,只是说 CDN 一般拿不下来,国内的任播好像 DNS 比较多,阿里的,114 的都是 anycast
xuanbg
2022-10-10 15:30:29 +08:00
OP 的错觉:DDOS 的流量都从一个地方来。。。
q1angch0u
2022-10-10 15:57:32 +08:00
有啥难的,实在不行就上元宇宙
dorothyREN
2022-10-10 16:06:06 +08:00
anycast 他只要能打挂你一个地区,那你所有地区都会被打卦
lysS
2022-10-10 16:19:07 +08:00
如果 client 不是 web, 可以给 client 分组,不同的组只能请求独有的 ip ,被攻击的也只是个别组、影响有限,可以直接不管它
leonshaw
2022-10-10 16:27:52 +08:00
这样只能缩小影响范围,打挂一个区域反而更容易了
jy02201949
2022-10-10 17:14:07 +08:00
业内了解都知道运营商这块有整套解决方案的,直接用国内运营商在骨干网络上部署抗 D 服务,电信的云堤、联通的云盾等,ddos 流量还没到机房就被干了,当然,对应的价格也很美丽
icy37785
2022-10-10 21:37:33 +08:00
总有人认为成本问题是技术问题,然后开始发问,这么好的技术为什么不用。
ayconanw
2022-10-11 03:21:30 +08:00
最简单的方法,套 cf ,然后服务器只给 cf 的 ip 开白名单
L0L
2022-10-11 07:16:47 +08:00
应用中类似的缓存穿透
29EtwXn6t5wgM3fD
2022-10-11 14:39:36 +08:00
各大厂商 CDN 为了成本都租用大量的运营商廉价的三线城市机房,甚至还有 PCDN ,把 Anycast 覆盖到这些 IP 几乎不可能

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/885697

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX