V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
manami
V2EX  ›  程序员

最节省成本抵御网络攻击(ddos、cc 等)的手段是?

  •  
  •   manami · 323 天前 via Android · 5521 次点击
    这是一个创建于 323 天前的主题,其中的信息可能已经有所发展或是发生改变。
    准备在这几年把自己的一个网站迁回国内,现在用的 cloudflare cdn 对国内极其不友好,速度慢如蜗牛。但这也意味着要脱离 cloudflare ,没了 cloudflare 的保护,后续一堆网络恶意攻击会接踵而至。自己对网络攻防了解不深,最近调研了一些抵御手段,比如使用 fail2ban 、自建 cdn 等。可以确定的是,市面上的 cdn 太贵是用不起的。后续因为是要注册公司,合法经营,服务的对象主要是国内用户,或者可不可以完全屏蔽国外 ip 段,后续如果遭受攻击,攻击源头来自于国内,产生较大影响直接 bao jing 处理有没有用?网上可参考的太少了。

    不知道在这方面有没有类似经验的 v 友,求给一些解答和建议,小成本创业需要考虑的实在太多了,网络攻击就是头疼的事
    57 条回复    2024-01-05 10:55:31 +08:00
    perfectlife
        1
    perfectlife  
       323 天前 via Android   ❤️ 1
    最省钱的就是服务停了,ddos 就是让你花钱的
    manami
        2
    manami  
    OP
       323 天前 via Android
    @perfectlife 老哥给个招,拔网线的方法用不了几次🙃
    tomczhen
        3
    tomczhen  
       323 天前 via Android   ❤️ 1
    一般拔网线最省成本,除非拔网线带来的损失大于保证服务正常的成本。
    balabalaguguji
        4
    balabalaguguji  
       323 天前
    最近才被追着攻击了几天,真的很讨厌,我对这方面的防护也不懂,最近用了下腾讯云 7 天的免费 web 防火墙,但是正式的用不起,太贵了。
    manami
        5
    manami  
    OP
       323 天前 via Android
    @balabalaguguji 国内服务商的 cdn 不敢碰,之前看有 v 友被攻击一下子欠了几 w
    devilarchitect
        6
    devilarchitect  
       323 天前
    你要是这么问我出 ddos 三大法宝:流量清洗 拔网线 拔电源
    locoz
        7
    locoz  
       323 天前 via Android
    拔网线
    edwinyzhang
        8
    edwinyzhang  
       323 天前   ❤️ 2
    用开源的 waf 自己挡一道
    https://github.com/unixhot/waf
    asuraa
        9
    asuraa  
       323 天前
    ddos 用 waf 是挡不住的,最贱的办法就是套一个 cdn
    Jackeriss
        10
    Jackeriss  
       323 天前
    如果支持换 ip 就换 ip ,不行就换机器,准备好镜像能随时部署新机器就行。如果有多台机器就用 DNS 做负载均衡。
    asuraa
        11
    asuraa  
       323 天前   ❤️ 1
    ddos 用 waf 是挡不住的,最简单的办法就是套一个 cdn
    kuituosi
        12
    kuituosi  
       323 天前   ❤️ 1
    阿里云有免费的 5G 额度 ddos 防护超出了才计费,对小公司而言是不错的福利
    wheat0r
        13
    wheat0r  
       323 天前
    ddos 要是好防,它就不姓 D 了
    proxytoworld
        14
    proxytoworld  
       323 天前
    openai 都被 d 过。。。挡不住的,只能套 cdn
    JensenQian
        15
    JensenQian  
       323 天前 via Android
    要到国内快的话买个 cera 杜甫,就是太贵了
    Greatshu
        16
    Greatshu  
       323 天前
    cloudflare 又不是没有国内公司,你找销售问下价格?
    manami
        17
    manami  
    OP
       323 天前 via Android
    @Greatshu 国内好像是跟百度合作,也不便宜
    Atomo
        18
    Atomo  
       323 天前   ❤️ 1
    @manami 国内是和京东合作的,和百度分手了
    jaTomn
        19
    jaTomn  
       323 天前   ❤️ 1
    我最近也被 D 的很头疼,但我开的是游戏服务器,只有 UDP 流量。最近也在尝试屏蔽海外 IP 。据闻发动 DDOS 攻击使用海外流量的费用远远小于使用国内 IP 。屏蔽海外 IP ,至少能提高一下攻击者的单次攻击成本吧。
    SculptureSand
        20
    SculptureSand  
       323 天前 via Android   ❤️ 1
    防攻击真的心累,尤其是你们经营网站,需要考虑可用性的

    我自己的个人项目(还在开发中),目前想好了一个多层多级的防刷策略,在我之前的帖子里有提及部分方法,实际上没什么技术含量,更多是创意

    OP 我建议至少制定一个最终的底线,被攻击到一定程度就直接暂停服务止损

    我自己这边其中一个监控准备是单纯的调用一次 API 就记录进一次数据库,同时判断是否超量
    没正式写过项目,更别提上线项目,不知道这是不是数据库正确用法,感觉好原始,哈哈

    另外我目前还打算不上 CDN ,还没测光靠对象存储访问速度行不行,但看别人对象存储被刷,损失都是 1K-1W ,除了有篇知乎文章说对象存储被刷想去暂停,但欠费阿里云不给操作,于是只能交钱,刚交完又被刷,只能再交,然后被刷数 w
    而 CDN 这玩意应该是能刷到倾家荡产的
    XiLingHost
        21
    XiLingHost  
       323 天前   ❤️ 1
    对抗 ddos 最好的方案应该是分布式服务,去中心化就不怕 d 了
    QinYu0226
        22
    QinYu0226  
       323 天前   ❤️ 5
    一个新思路,开发客户端 App 。客户端可以用非标准的端口连接真正的业务。
    比如在 3306 端口搭建 HTTPS 服务,攻击者都以为这是 SQL 端口但其实是前端。22 端口搭建 MySQL 同样道理。
    而关键的就是普通的浏览器默认是不允许链接这些端口的,比如浏览器会默认 21 就是 FTP ,22 就是 SSH ,53 就是 DNS 。
    所以你需要专门做一个客户端强制用 22 或者 53 端口作为 HTTPS 来进行连接。

    这是其实是很多 黄 站 会用的方法。不是硬抗而是躲避,端口都是反直觉的,不会让你猜到这是什么服务。所有非客户端的访问都是直接 ban 。
    pengtdyd
        23
    pengtdyd  
       323 天前   ❤️ 1
    ddos 你怎么知道这个不是云厂商自导自演的行为呢?
    Chuckle
        24
    Chuckle  
       322 天前   ❤️ 1
    凉拌,看保服务还是保钱包了,现在各家 cdn 的异常停止和通知至少都有 5 分钟以上延迟,黄花菜都凉了,我用着的 edgeone 个人版也没承诺能防护多少,最低成本就裸服务器扛吧,部署上 WAF ,找找高防算法用,至少服务器处理不过来的时候就死掉了,给你拔网线的时间,用 cdn 的话,把大陆外的 ip 都 ban 了,qps 设置好,国内攻击还是有点成本的
    dedemao
        25
    dedemao  
       322 天前
    硬抗
    dode
        26
    dode  
       322 天前
    隐藏服务,docker 部署,限制单个服务 cc 请求处理资源

    要求登录,隔离拆分部署,不同用户服务器资源相互独立
    zenghx
        27
    zenghx  
       322 天前
    关机
    zx900930
        28
    zx900930  
       322 天前
    小公司一定要用资费封顶,超出断服务进黑洞那种的。
    最难受的就是大公司,不能中断服务的那种。
    因为流量刷起来,你的资费很容易就炸了。
    dedemao
        29
    dedemao  
       322 天前
    换 IP ,阿里云有弹性 IP ,5M 带宽的一个 IP 一天也就 4 元钱,打死一个再换一个。从买 IP 到绑定网卡,再到域名解析到新的 ip ,一系列操作都提供 API
    cokey
        30
    cokey  
       322 天前   ❤️ 1
    最好的办法就是 CDN ,然后直接挂工单找客服,去申请关闭欠费保护期即可,我用的七牛云就是这样关的
    fionasit007
        31
    fionasit007  
       322 天前   ❤️ 1
    一般的站也没有搞的,要是遇到专门有人搞的,没钱就没办法,waf 啥的只能防防手贱的,cdn 之类的增值服务都需要花钱的,我们之前 cdn 没做监控一晚上被烧了几个 w ,后面天天流量攻击,全是正常 ip 轰炸的,防火墙没有一点办法,只能花钱买流量扛,
    fionasit007
        32
    fionasit007  
       322 天前
    @pengtdyd 是不是云平台故意的不清楚,我们前一阵阿里云 cdn 被攻击了,二话不说换了个平台,内部打折比阿里云便宜哈哈
    fionasit007
        33
    fionasit007  
       322 天前
    @SculptureSand 要上 cdn 的话把监控加好,阿里云可以设置带宽封顶,到顶了指定停止服务
    Features
        34
    Features  
       322 天前
    买个小 IDC 的高防吧,一般就两三千一个月
    对比阿里云一个月最低 1.8w 已经很便宜了
    likunyan
        35
    likunyan  
       322 天前
    @Features 一个月 6 万,1.8w 是两三次,根本不够用。
    opengps
        36
    opengps  
       322 天前
    多个 ip ,多个域名,分别对外提供完全相同的服务,这样即使被打,也需要对方有足够多的资源去调动
    0o0O0o0O0o
        37
    0o0O0o0O0o  
       322 天前   ❤️ 3
    不知道你们的规模,我提个我自己在用的:

    - 只用微信生态提供服务,放弃 Web 、原生,用 https://developers.weixin.qq.com/miniprogram/dev/wxcloudrun/src/basic/overview.html#%E4%B8%89%E3%80%81%E4%BC%98%E5%8A%BF-%E7%89%B9%E7%82%B9
    - 抗 D ,你 D 微信去吧
    - cc 成本高,只要腾讯云不出漏洞,无效流量都被清洗了,落到你后端的请求都对应真实的微信号,报警了溯源成功的可能性也更高(仅是个人感觉,至少比海量肉鸡 IP 好溯源吧?)
    - 支持设定 callcontainer 的扩容上下限,相当于设定了实例消费上限
    - 存储等按量付费的自己想办法,自己模拟下怎么才能被攻击时不被刷爆
    - 真拔线了也不怕和用户失联,可以上线个公告

    成本有限就依托大公司,海外有赛博菩萨 Cloudflare ,国内没有平替,那就牺牲一点开发体验选微信吧
    oudemen
        38
    oudemen  
       322 天前   ❤️ 1
    云厂商的 slb 都有免费 ddos 流量额度,比如阿里云是 5G ,域名解析到多个 slb 上,每次攻击一般只攻击其中一个 IP ,所以剩下的还能正常提供服务。被攻击后,立刻停止对应 slb 的解析或者更换一个新 slb 。 影响会降低很多,这一切可以搞成自动的。这是我想到最低成本的方案。
    0o0O0o0O0o
        39
    0o0O0o0O0o  
       322 天前
    @0o0O0o0O0o #37 可以说我低成本防护的核心思路就在入口,只要你还保留着域名的概念,就不要想着低成本解决了

    有什么低成本难溯源的攻击思路也可以指出来讨论一下
    kkkbbb
        40
    kkkbbb  
       322 天前
    @wheat0r hhh
    myqoo
        41
    myqoo  
       322 天前
    纯静态资源的网站很容易防护
    ugpu
        42
    ugpu  
       322 天前   ❤️ 2
    域名解析指向 gov 网站. 不出一天对面进去了 你就可以继续开启服务器了
    kaf
        43
    kaf  
       322 天前   ❤️ 1
    大部分的攻击都是拉取域名无差别攻击,国内本身肉机少,通过设置一些特定的 header 鉴权就能档大半,当然如果专门来攻击你,通过浏览器复制你的请求攻击就没办法。这样防不住就弄一个发放令牌的服务,前端每次先调用拿到令牌,带着令牌请求,走 cdn 可以在 cdn 厂商配置远程鉴权,这样再防不住,大概率就是针对你攻击的,还是报警吧。
    最后打个我司的广告,虽然不知名云服务公司,但是 cdn 服务自带高防,被攻击后台有人处理,攻击流量可以找客服 battle 掉,有需要可以联系
    hubaq
        44
    hubaq  
       322 天前   ❤️ 1
    直接淘宝买高防,我好几年了基本没被打死,最大流量 200G 都抗住了,价格也就几百
    leaflxh
        45
    leaflxh  
       322 天前
    @ugpu

    cname 过去会把源站的 host 传到 gov 的服务器上

    有人真这么干过,然后因为"就是你把鬼子引了过来",付费喝茶
    manami
        46
    manami  
    OP
       322 天前 via Android
    @hubaq 靠谱吗,小作坊不放心,有些权限太多
    hubaq
        47
    hubaq  
       322 天前
    @manami 自己做好防护措施,没啥大问题
    token10086
        48
    token10086  
       322 天前
    @balabalaguguji 看见前辈的遭遇我的工具站流量起来了我打算套 CF 。。。。。
    objectgiga
        49
    objectgiga  
       322 天前
    @kuituosi 5G 那个太小了,你去谷歌随便找个白嫖 ddos 平台可能都打穿了,然后就进黑洞了,都别说人家花钱打你了
    INW017bzMfgkkYGn
        50
    INW017bzMfgkkYGn  
       322 天前
    @hubaq #44 几百是每个月吗?
    INW017bzMfgkkYGn
        51
    INW017bzMfgkkYGn  
       322 天前
    @QinYu0226 没有硬防这些手段也不顶用吧。
    真是要 D 你,谁还管你浏览器不浏览器端口不端口的,直接大水漫灌淹死为止
    kenvix
        52
    kenvix  
       322 天前
    CC 好抗,写好过滤规则就行。DDOS 除了砸钱是没有办法的
    hubaq
        53
    hubaq  
       322 天前
    @default 699 200G
    salor
        54
    salor  
       321 天前 via iPhone
    需要自己托管的年代机房网管会毫不废话的拔你网线
    luojiyin87
        55
    luojiyin87  
       321 天前
    除非全部静态化,然后上 cdn 。 买防火墙,对于个人太贵了。
    kuituosi
        56
    kuituosi  
       321 天前
    @objectgiga 牛逼吹的大,不花钱上哪儿白嫖 5G 的流量?
    INW017bzMfgkkYGn
        57
    INW017bzMfgkkYGn  
       321 天前
    @hubaq 小项目还真是用不起。不知道三丰云的怎么样,120G 防护 每个月 229

    六型 成都高防 16 核 16G 赠送 200G
    50Mbps 120G (更高防护联系客服) ¥ 15 元/天 ¥ 229 元/月
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3579 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 00:52 · PVG 08:52 · LAX 16:52 · JFK 19:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.