一个笨拙的抵挡 DDoS 的方法

由于 bug 2 这个方法无效

DDoS 攻击者无法伪造 IP
但是 DDoS 可以堵死母鸡和 IDC 路由

除了硬抗，或者拉近黑名单 没其他办法~

没用，HTTP 的 TCP timeout 就几十秒

独立服务器勉强能采取一点措施。VPS 和防 DDOS 基本沾不上边。

你的网站是一间屋子，而大规模 DDOS，是直接堵门。你在屋里任何防御措施都没用。
防范 DDOS，是机房的事。你防的，其实是小规模 CC 攻击。

分清 CC 攻击和 DDoS
DDoS 是直接发包的, 根本不会达到应用层
了解一下常用的 dns 反射放大攻击
http://www.freebuf.com/articles/network/76021.html

@所有人 谢谢大家，我在往上搜了不少文章，还是各位说得明白。
但我看到网上有文章里说 DDoS 时用封 IP 来应对，例如这儿: https://www.cnblogs.com/xuepython/p/6780789.html
是为什么呢？

@CESAFE 感谢回复！“拉近黑名单”，是什么黑名单呢？我看大家都说封 IP 无效啊。

ddos 打带宽流量，cc 打 cpu 内存资源

@t6attack 补充一下，机房就相当于你家物业安保，对方人少你自己能对付，人多了的就要找安保帮忙。

DDoS 能挡？
笑……

你在一个孤岛，只有一条公路可以跟外面连通，ddos 就是洪水把路摧毁了，进也进不去出也出不来。cc 就是派好多车过来，塞车了。

@kongque2016 #7 那个作者可能弄混了概念，把 cc 当作 ddos 了。

按我的理解， 一般 ddos 是通过放大攻击搞的，例如：攻击者控制 100 台肉鸡，肉鸡向互联网上的 1w 台 dns 服务器发出 dns 请求，但是源地址伪装成被攻击者 ip。dns 服务器就会向着 被攻击者发出 dns 响应。通过专门构建的 dns 请求，可以做肉鸡发出很小的包，但是 dns 服务器回应一个巨大的包来放大攻击流量，大量的流量直接占满服务器宽带来做到拒绝服务攻击。
一些其他服务也能做到这种放大。

被攻击的主要目的是宽带，比如服务器只有 100M 的宽带，但是 ddos 的流量达到了 1g，直接宽带满了，服务器再防御也没用。
换算到现实类似于到工厂的路只能跑 100 辆车，但是攻击者做了 1w 辆车去，道路直接堵死，工厂内怎么优化也没用。这时候只能联系公路局扩路(升级宽带)或者联系交警提前在主干道、高速公路设卡，发现目的地是工厂的就直接检查是否是正常请求，不是直接在主干道拦截(中国电信云堤))。


cc 是发出少量大资源消耗的请求来攻击，例如搜索等请求有高数据库 cpu 占用，那么专门发出少量的搜索请求就足够让数据库卡顿。

@chinvo #2
啥？不能伪造 IP ？

@gamexg 谢谢，说得好明白。不过我又有一个问题，这样一来，我的 VPS 托管厂商难道检测不到？它攻击我的 VPS，必然要经过 VPS 厂商的物理网卡进来，对 VPS 所在的整个物理主机都有冲击吧？ VPS 厂商为了不影响其它 VPS，会不会帮我做点儿什么？

@just1 #12

CC 其实是在收费站缴通行费五万时候 你给的全是 1 分钱硬币 让窗口数……

ddos 是什么了解一下？不是 cc。。ddos 意思就是你服务器只有 100m 带宽，我就每秒给你发大于 100m 的数据，根本不需要到达应用层，直接网络就堵死了。

你说的是 cc

@realpg 我写过网卡驱动，发送 IP 包时，自己的 IP 字段可以任意填，不过你填错了，应答包回不来。好像是这样。

@kongque2016 会做点什么，例如停机外加联系运营商将 ip 加到黑洞，骨干网所有路由器直接丢弃目的地是 vps 的数据。

@kongque2016 当然有这样的服务，黑洞清洗了解一下，高防 ip 了解一下价格。。。流量是你带来的，所以要么你交钱，要么流量到达一定程度后关停你的服务器

@kongque2016 同时应该还会给个邮件，告知被攻击了，请换一家 vps 提供商，好些的还会给你提供退款方式。

@kongque2016 #18
需要回来么 2333

@kongque2016 源 ip 可以任意填，但是靠谱的 isp 都会检查源 ip 是否 2 正确，乱填的会被 isp 丢弃。但是极少数 isp 没做这个检查，所以存在伪造的情况。

一般 DDOS 现在都是利用反射 宽带攻击型 性能消耗型的少（性能消耗性的比较好处理） 把带宽打满 不管是独立还是 vps 还是云 自己都是没办法 只能找机房或云服务商（我们在传统机房的机柜租用，只要遇到了机房是先封了再说 哈哈 然后让你想办法）

你还没来得及判断 就已经满负载了。

一般说 DDOS，就是流量大，把你的带宽占满，CC 才是 CPU 资源类的攻击，
攻击小了不用防，大了防不住，基本上是这样的吧

@realpg #16 DDoS 是实打实的流量，TCP 握手的时候源 IP 是无法伪造的

参见 https://security.stackexchange.com/questions/37481/is-it-possible-to-pass-tcp-handshake-with-spoofed-ip-address

@chinvo #27
那只能说 你开心那就是这样好了……

防 cc 可以这样防 带宽扛得住就行
真大流量 flood 攻击过来 还是上高防吧

@realpg 伪造 IP 你是说 syn flood 吧

要么加防御硬扛，要么切换 ip 躲避。我有个游戏云服就是攻击来了自动切 ip，要不然很快就堵死了。。。

要么花钱 要么关站 一般都是混合攻击 小流量挡得住 大流量 洗洗睡

@crab #30
并不是

伪造 ip 是什么？ ip 还有假的？

@lscho 多谢指路，铜币已奉上。

老子就是要用 iptables 来防 ddos.webp

@MelodyCat 可是论坛域名固定，切了 IP，攻击者 ping 一下，就又知道 IP 了。

话说如果我办了一条大带宽的比如 500M 的家用宽带，是不是就可以 0 成本灭掉任何看不顺眼的小网站了？

@kongque2016 使用 CDN 哇 隐藏自己的真实 IP 小流量用 CDN 可不错啊

@chinvo IP 可以伪造

只能说第一次 SYN 握手可以伪造 第二次回 ACK 会把 ACK 的 Seq 编号返回到伪造的 IP 上 第三次握手需要返回第二次的 Seq+1 所以不能建立 TCP 链接

@kernel 理论上只要你能上网 灭掉阿里都行 只要你比马云钱多

@kongque2016 自己乱构造 IP 包基本是发不出去的，机房也会做验证。

@Srar 谁会把 ACK ？

@kernel 你的意思应该是 DoS，但问题有三：你在明处、你只有一个 IP （即使是动态的）、法律合规。

cdn 应该很简单了

@Srar #40 好吧，SYN flood 也算 DDoS

挡不住 ddos，几万上百万访问，一般的服务器都挡不住。

楼主需要好好复习网络协议

攻击者并不需要伪装自己的 IP,也没有必要伪装
而是大量肉鸡集中在一个时间段对你的服务器发起大量请求,这些请求在还未到达你服务器的时候,就已经已经道路拥堵,本机的所有设置都只是杯水车薪
你的方法只对 CC 类型的攻击有一些效果

DDOS 只有运营商层面能有比较好的效果

@Tianao 我是指只有我一个 IP 能否对一个网站输出全部我的带宽伤害，不管对方做什么防御

@kernel 小网站 f5 都可以搞死

@kernel 不能，有可能被反向 ddos

CC 攻击可以考虑 ipset
DDoS ……实打实的流量型攻击，世界级难题

这个方法只能某种程度地防 cc
并不能防 ddos
不知道我的说法对不对？

@trys1 当然是不对啦，这个方法只能防 udp

@kongque2016 安全组了解下。或者 iptables 了解下

@realpg 不能伪造 ip,都是控制肉鸡，肉鸡真实存在，肉鸡发出去的攻击包 ip,源地址也是真实的 ip

那些说伪造 ip 的，就算假如能伪造 ip 不用 N 多肉鸡打，直接用发起控制机打，比如发起者端口带宽是 10M 目标服务器端口带宽是 100M 你发出去的包源 ip 是伪造的，ddos 也攻击不死目标，最多是无法查出你真实 ip。而发动 ddos，用肉鸡就是叠加带宽群殴一个目标。

DDOS 的威力是根本分辨不了哪些 IP 是正常业务，哪些是被控的肉鸡，犹如 T 病毒扩散后，你想分检从浣熊市里冲出来的人谁有病毒，不可能的，全杀。

@webjin1 伪造 IP 是为了反射攻击时候把 dst ip 替换成受害者机器 /t/434111 了解下

@Mac 这个要看清洗设备，我见过一些机房的防火墙清洗能力还是可以，识别率，和误封虑不错，当然肯定不是 100%。

@webjin1 反射放大攻击呢？
而且为什么只用一台控制机打？为什么能伪造 IP 就不能用肉鸡？

@Srar 嗯，可能理解意思不一样，你反射的 ip。比如你向那些有漏洞可以利用的肉鸡发出一个查询包，你自身通信的的源 ip 没法伪造吧，包里面构造的查询包里面的源伪造目标 ip 然后发送到漏洞的肉鸡进行反射，漏洞肉鸡看数据包的查询的源 ip 那是伪造出来的是受害者的。那回包按照这个了。

你带宽够配置大，iptables 都能拦下 ddos

@webjin1 伪造的就是我自身通讯的源 IP, 查询包内不包含源 IP 一个是 TCP/IP 层的 一个是应用层的

https://github.com/Srar/MemcacheDos/blob/master/RawUdp.ts#L22

@msg7086 我说的是那种抓的肉鸡里面种植了直接发动 ddos 程序木马，去攻击。反射攻击的那些肉鸡服务器管理员就真的活该了，那些本来可以利用反射的程序可以打补丁。

@Srar 哦，上次听电信的人说，电信的 idc 部署的安全设备 那些所有发出去的包都会检测源，只要是伪造的源都会丢弃。

@webjin1 某些国家的某些机房没检测源 IP 就可以随便搞事。。。

@Srar 我也是上次听我朋友说,他租用的一个双线机房,电信,联通的线路,很麻烦要做策略路由.
机房是在电信机房,但是有联通线路进来,默认路由是电信网关出去,他的联通 ip 不做配置出不去,说电信会检测源,收到联通的源 ip 发出去的包会直接丢弃.

@lslqtz 如果按照单个 xxx.xxx.xxx.xxx/32 精细的匹配条目,iptables 规则条数有没有上限,这个倒不知道.

@Srar 我在想这些反射攻击,如果别人反射攻击我的服务器,我服务器开启抓包,然后完事,我分析数据包,把那些攻击源 IP 收集起来,那日后我也可以利用这些有反射漏洞肉鸡,免费得来肉鸡不费功夫. 平常这些反射攻击工具网上应该一大把吧,我看你刚刚发我的 github 代码,好像都是你自己写的.

@webjin1 可以那么干也不可以...因为反射出来的流量很大 当时我搞的时候 2m/s 反射出了 250G+流量 如果你直接抓流量的话恐怕已经在硬防那边过滤掉了或者你的机器直接被空路由了 如果流量很小的话可以抓到

@webjin1 不行的，反射攻击和反射漏洞是两回事

既然说自己对 DDoS 不熟悉，那至少先读一下 https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A

DDoS 是一个非常宽泛的概念，方法非常多，根本不可能存在一种能防所有 DDoS 的方法
而楼主说的方法显然可以防某一种方式的 DDoS

我之前就没听说过 CC 攻击，据上面的链接所说，这也是 DDoS 的一种
进一步考证了一下，这应该是一个中文圈子里的词，用 Google 搜索 Challenge Collapsar 的前 9 条结果全是中国人写的

流量一大。。。你都没开始判断就 GG 了 - -

很简单一句话，除了花钱买流量，DDOS 无其他解

@kongque2016 会帮你把你的 IP 从路由拉黑。这样所有流量到达机房路由器就直接被丢包了。

@wwwxxxfr 你不说 ddos 是 tg 还是私人，私人那肯定封 ip 能解决，tg 你封 ip 先不说你有钱没钱，他要是破门你怎么办？

@webjin1 是整个电信的骨干网络都配置了过滤，当年出过新闻的。可惜就是看过这条新闻的人都联想去封杀 vpn 那里了。
然而这招其实也没啥用，你挡着别人赚钱了人家照样有很多方法修理你，例如下面这家，被 d 得那叫一个惨

DDOS 就是一大堆人同时访问你服务器，在流量没到服务器前已经把你服务器的网口堵死了。比如 DDOS 攻击的规模是 5Gbps，给你的网口只有 1Gbps，那就 GG。
比如你机房总带宽有 100Gbps，那流量到达机房路由器是没问题的，但机房为了不影响其他客户会从机房总路由把你 IP 直接 Null 掉，这样刚到机房就没法访问了。
更严重些比如 DDOS 流量有 200Gbps，那连你机房总宽带都会被打瘫。这时候机房只能接入类似 Voxility 的第三方防御线路，那种带宽一般有 1000Gbps，他们专搞 DDOS 清洗会把攻击流量分流到几千台服务器上，判断并回流到机房。当然这样搞会导致绕路，就是所有流量先走到清洗机房比如罗马尼亚，然后再回到你机房。
个人防御 DDOS 类似 Cloudflare，就是在你网站外面套个 CDN，把所有对你网站的访问分流到全球几千台服务器去清洗回流，这样攻击流量被冲散。OVH 原理类似，只不过在他们机房内分散清洗。但是你源 IP 暴露以后再套 CDN 一点用都没有，他们还会继续打你源 IP。而且 Cloudflare 可能会漏尽一些流量，导致你服务器依然承受不了。
如果攻击规模到达 500Gbps 以上很可能连国家出网宽带都打瘫痪了，那种结果就是全中国的用户都没法访问你所在机房，或者走同样线路机房的所有网站。
说到底还是拼宽带大小，宽带小的就自求多福吧，本机搞什么措施都没用。

Distributed Denial of Service 分布式拒绝攻击，除非你关机

@qiukong 这人是开玩笑，请他 ddos 我

都已经 DDoS 了 还黑名单 白名单有意义吗？

@kongque2016 会给你封机器...

ddos 走的是 icmp 吧，应该是在二层，你在四层 tcp 和七层 http 能防住？

为什么很多人都把 DDoS 和 CC 分开了，DDoS 是一个大概念，CC 也是一种 DDoS 攻击吧

那些所谓的“服务器防火墙”软件大致也是这种原理，对于小流量攻击能有一定效果，可是流量大了就吃不消了。

建议楼主按自己的方案部署好，然后把 ip 贴出来，很快你就知道有没有用了。

@loading 估计不行啊，他要是把他自己服务器到期当成有人 ddos 他就麻烦了，说不清了

@yexm0 同行攻击么

@abmin521 不清楚了，他们说不知道是谁干的。没人留狠话，也没人来要钱，就无端端被打了。

被 D 的很惨，两种做法，和上级 bgp 协商直接扔到 bgp 的黑洞里，这个过程其实很有趣，涉及网络的 bgp community 广播，但是，自己的 ip 也废了。第二种，发现 ddos，同样通过 bgp 把流量牵引到清洗厂商，再把清洗过的流量用 gre 隧道引回来，当然，你也可以自己清洗。大多数人其实都没有实地干过，国内环境根本不允许你 bgp peer。

DDOS 包含了 CC 攻击，CC 只是属于 7 层攻击，
7 层以下的攻击，基本都只能拼宽带

关机黑洞了解一下

另外给楼主解释一下，社会人来你家，不打你，就赌楼道，想要找你的朋友到不了你家，因为楼道有宽度，这叫 DDoS
@keramist 大哥，你真牛逼乎，我这 1G 内存的树莓派都能;5-10QPS

@kongque2016 像 conoha 听说会热心地帮你封号不退钱...
https://blessing.studio/mail-log-to-conoha-user-center-after-ddos/
> 谢谢，说得好明白。不过我又有一个问题，这样一来，我的 VPS 托管厂商难道检测不到？它攻击我的 VPS，必然要经过 VPS 厂商的物理网卡进来，对 VPS 所在的整个物理主机都有冲击吧？ VPS 厂商为了不影响其它 VPS，会不会帮我做点儿什么？

@kongque2016 vps 厂家会把你 ip 停掉的

上面几乎没人能完整说明白 DDos 和 CC 的关系……

DDos 大类型包括两种：带宽消耗型攻击 和 资源消耗型攻击。而 CC 攻击属于资源消耗型攻击，也就属于 DDos。在开始讨论解决方案之前，先把概念厘清应该比较有助于各位理解并统一共识。

DDoS 概念解读请参考维基百科： https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A

以上

@kongque2016 谢谢，说得好明白。不过我又有一个问题，这样一来，我的 VPS 托管厂商难道检测不到？它攻击我的 VPS，必然要经过 VPS 厂商的物理网卡进来，对 VPS 所在的整个物理主机都有冲击吧？ VPS 厂商为了不影响其它 VPS，会不会帮我做点儿什么？
------------------------
会的，把目标是你的 ip 的所有数据包进黑洞

在有防御的的云环境下，DDOS 的流量根本不到你服务器，所以这些方法无效
举例说，我服务器网卡才 1000M,但是攻击我的流量往往 10G 起步，应该说真有攻击来了，几乎没有多少正常到达服务器的流量

"DDoS 是直接发包的, 根本不会达到应用层" +1