V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
inSpring
V2EX  ›  云计算

请教 云厂商 DDOS 防护的问题

  •  
  •   inSpring · 76 天前 · 1583 次点击
    这是一个创建于 76 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天一台云服务器被 DDOS 攻击,攻击带宽峰值 1.8G ,云厂商提供的基础防御是 2G 。

    Imgur

    看报告里显示的攻击时间是从 10:14~12:39 。

    在 11:00 - 12:00 这段时间陆续有用户反馈网站无法打开,在这个时间自己也测试了,确实 ssh 连接不上服务器,登录不上去。

    攻击停止后,有个疑问:攻击带宽峰值没有达到基础防御的 2G 。为啥中间一段时间服务器无法访问?

    咨询了云厂商技术支持客服,对话如下:

    Q: 今天上午服务器被攻击,带宽峰值是 1.8G 但是基础防御是 2g 为啥被攻击的时候 出现服务器没法访问呢?

    A: 您好,基础防御是 2g ,您今天收到的这次攻击流量为 1.8G ,防护住了,是没进行封堵的。"但是中间出现一段时间 服务器无法访问 是啥原因呢" --- 当时是因为在攻击中,所以没法访问的。

    Q: 既然防护住了,为啥服务器却不能访问了? 如果我买 10g 的防御 遭受 1g 的攻击 防护住了 也会出现正常用户无法访问的情况吗?

    A: 您好,您的正常请求夹杂在攻击的流量当中,这个是无法区分出来的,会被一起防护的。防护的作用是让服务器不被运营商进行封堵,不会导致攻击结束后,服务器依然不能访问的情况

    Q: 这个可以理解为对流量的识别不够准确,误杀了正常用户的流量吗?

    A: 进行防护是不能区分是攻击流量还是正常访问的流量的,会一起拦截的

    由于对 ddos 防御技术实现上不是太了解,仍有几点疑问,特来咨询 V 站朋友:

    1. ddos 防护可以区分攻击流量和正常流量吗?

    2. ddos 防护 和 高防 ip 是什么区别?

    3. 云厂商的 ddos 防护原理是什么?

    非常感谢!

    Imgur

    7 条回复    2022-07-19 14:22:23 +08:00
    defunct9
        1
    defunct9  
       76 天前 via iPhone
    ddos 流量清洗才能防住,只是防护有可能只是扔了黑洞
    linglin0924
        2
    linglin0924  
       76 天前
    你遇到的这个攻击,icmpflood ,俗称 ping 死你。 很简单的一种洪水攻击,没什么技术含量。就是短时间内激增垃圾包,塞爆带宽,迫使你的机房对 IP 空路由,减少攻击对整体网络的攻击。

    ddos 防护分好几种,硬件 软件等等,都是清洗 /过滤 无用流量包的 。

    高防 IP 就是被攻击的时候不会空路由,会把路由指向清洗线路。

    云厂商的防 ddos 就两种加钱,要么加带宽,要么加硬件或者切线路清洗。

    你这个攻击峰值 1.8G ,如果你的服务器是 2G +带宽的,还不至于一下断网。但是大部分服务器的防御都虚标,就那回事。
    eason1874
        3
    eason1874  
       76 天前
    ddos 攻击就好比有人雇了一大群人去你的门店排队,排到了他随便问几句又不买了,只要人够多,不好区分的

    ddos 防护原理就是清洗流量,记录恶意请求特征和 IP 给拒绝掉,剩下的才放到源服务器。ddos 防护服务以账户或者机器为维度,支持机器或者账户下所有全部流量。高防 IP 是以 IP 为维度,只支持特定 IP 的流量

    其实你遇到的 icmp 洪水特征很明显,把 ping 流量过滤掉就完事

    但你这个 2Gbps 应该是服务商免费提供的防护,被攻击了只会通知运营商进行黑洞处理,不会清洗的,因为清洗意味着厂商得正常接收 1.8Gbps 流量,等于说你会长期占用人家 1.8Gbps 带宽。以商业带宽的价格,你觉得可能吗?
    hanssx
        4
    hanssx  
       76 天前
    之前也遇到过相关事件,但是没有解决,之前看过一本书《破坏之王》 DDoS 攻击与防范深度剖析,可以作为基础的了解。

    现在 DDos 一般都反射,特别是 DNS 反射能放大很多,ICMP Flood 也是可以反射的。

    防护是可以区分流量的,特别是在 ip 层路由的时候会对包进行 src dst 的过滤,很多时候也靠 isp 。

    一般 DDos 发起攻击都是 botnet ,溯源的话需要找样本,可以看看《北京健康宝这个被 DDos 的事件》,360Netlab 实验室出的。
    Zy143L
        5
    Zy143L  
       75 天前 via Android
    这个防御 只是保证这个 ddos 攻击量下 不封机
    就是说 DDOS 攻击流量撤了 你服务器立刻就可以用
    不至于说把你服务器直接黑洞
    但是你要在 ddos 进行时还可以正常业务,那就需要 ddos 流量清洗服务了 在上游网关对 ddos 进行流量清洗
    inSpring
        6
    inSpring  
    OP
       75 天前
    非常感谢大家的解答。目前的理解是:如果要在遭遇 ddos 攻击的时候,还想不影响业务,就得买 ddos 流量清洗服务(比如高防 IP)。 云厂商免费提供的 ddos 防护, 可能只是在被攻击的时候,通知运营商黑洞处理(不清洗,不区分正常 /恶意流量),运营商黑洞处理后,流量就不再进入云厂商机房。

    如果理解有误,求指正。
    WGzeyu
        7
    WGzeyu  
       20 天前
    @inSpring 我的腾讯云之前被打了很久,就经验来看,只要没被黑洞,一定是可以访问的,有时候稍微超出 2G 一点也能给扛下来
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1171 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 19:40 · PVG 03:40 · LAX 12:40 · JFK 15:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.