V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
as9567585
V2EX  ›  信息安全

有什么小成本的方案来阻止 ddos

  •  1
     
  •   as9567585 · 2022-10-09 23:10:07 +08:00 · 9618 次点击
    这是一个创建于 770 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一、ddos 高防

    价格太贵

    二、直接屏蔽外国 ip

    如果面对的都是国内的客户,可以直接简单粗暴屏蔽国外 ip ,但这就需要一个精确度高的的 ip 库,ipip.net 价格太贵,而且还是会有可能误伤,有用这种方案的朋友吗?怎么处理的呢?

    我也不清楚为什么很少有国内的 ddos 攻击源,监管的很严?

    三、根据流量动态动态屏蔽

    这个感觉靠谱,就怕肉鸡太多,需要设定合适的阈值,防止误伤,有用这种方式的朋友吗?有什么经验推荐下?

    87 条回复    2023-08-15 15:27:40 +08:00
    dorothyREN
        1
    dorothyREN  
       2022-10-09 23:11:37 +08:00
    屏蔽 ip 也没用,ddos 才不管你响不响应呢
    isbase
        2
    isbase  
       2022-10-09 23:15:57 +08:00   ❤️ 4
    用 cloudflare
    PMR
        3
    PMR  
       2022-10-09 23:16:05 +08:00 via Android
    DDoS 流量已经到入口 屏蔽只防 CC 只能 null IP
    7zlid
        4
    7zlid  
       2022-10-09 23:16:28 +08:00 via Android
    CF
    jousca
        5
    jousca  
       2022-10-09 23:25:59 +08:00
    DDOS ,流量即正义。没有足够带宽,你任何防护设备都没有用…… 直接跑满。

    国内有 DDOS 源,肉鸡猖獗的年代,动辄 100 多个 G 的流量打过来,防火墙自己都死机。
    eason1874
        6
    eason1874  
       2022-10-09 23:31:17 +08:00
    能通过屏蔽 IP 来防御的是 CC 攻击,防不了 DDOS

    防御 DDOS 只能加带宽,加硬件,硬扛,没有自己的机房就只能买高防
    kizunai
        7
    kizunai  
       2022-10-10 00:05:32 +08:00   ❤️ 9
    关机
    aaa5838769
        8
    aaa5838769  
       2022-10-10 00:20:19 +08:00
    没有办法的,人家用很少的机器,就能把你带宽打满。
    tanranran
        9
    tanranran  
       2022-10-10 00:20:23 +08:00
    @kizunai #7 IP 会进黑洞的,和开不开机无关,除非机房的路由器关了。但是不可能关呀
    lhx2008
        10
    lhx2008  
       2022-10-10 00:37:11 +08:00
    CDN 就行了,纯接口的话一个月十几块钱
    scys
        11
    scys  
       2022-10-10 00:46:33 +08:00
    拔线跑路,换地头
    Y29tL2gwd2Fy
        12
    Y29tL2gwd2Fy  
       2022-10-10 01:24:06 +08:00 via Android
    拔电源插头🔌
    tanpengsccd
        13
    tanpengsccd  
       2022-10-10 01:28:21 +08:00 via iPhone
    德国鸡的高防很便宜,但是线路比较差
    IvanLi127
        14
    IvanLi127  
       2022-10-10 01:28:37 +08:00 via Android
    关停等结束,这应该成本最低了吧。毕竟营收好的,权衡完后就是花钱解决,降低损失。
    Rocketer
        15
    Rocketer  
       2022-10-10 01:31:31 +08:00 via iPhone
    DDOS 的原理不是打死你的机器,而是占满你的上游带宽,让机房甚至 IDC 直接从离你很远的地方就阻断到你 IP 的流量,以免影响其他人。

    现在你知道为什么高防 IP 贵了吧?因为需要上游给你开白名单。
    cnrting
        16
    cnrting  
       2022-10-10 01:33:45 +08:00
    poweroff
    1423
        17
    1423  
       2022-10-10 03:18:32 +08:00
    geekvcn
        18
    geekvcn  
       2022-10-10 05:20:15 +08:00 via iPhone
    想阻止 ddos 目前只有三个靠谱的方式
    比财力,只要你口子够大,或者能调整足够多的路由,就没事。
    报警,八成没下文
    从底层修改现在的网络软硬件架构,从底层协议设计初期就考虑 ddos 进去,比如末端网络设备可以自动识别拦截攻击流量
    WildCat
        19
    WildCat  
       2022-10-10 06:49:00 +08:00
    国内节点屏蔽国外 IP ,CF 白名单。
    国外全部解析 CF
    applefly
        20
    applefly  
       2022-10-10 08:15:58 +08:00   ❤️ 2
    关机保平安
    C603H6r18Q1mSP9N
        21
    C603H6r18Q1mSP9N  
       2022-10-10 09:11:48 +08:00
    国内主机?
    阿里云直接上 WAF ,包月的那种,封 ip 、封访问次数,能封的非常多,还蛮好用的,几千块钱 /月
    tx 云应该也有类似产品
    jy02201949
        22
    jy02201949  
       2022-10-10 09:17:21 +08:00   ❤️ 2
    这是有流量的烦恼啊,不像我,天天躲 cf 后面瑟瑟发抖,生怕哪天我的 1IP 博客被 ddcc 干死了
    as9567585
        23
    as9567585  
    OP
       2022-10-10 09:24:17 +08:00
    @jousca 现在为什么没有国内的攻击源了呢?
    LykorisR
        24
    LykorisR  
       2022-10-10 10:29:13 +08:00
    @as9567585 因为现在可以直接线下物理阻止攻击....
    aoling
        25
    aoling  
       2022-10-10 10:44:10 +08:00
    花钱保平安, 没有小成本方案

    ddos 攻击属于杀敌一千自损八百
    攻击者也需要付出带宽成本
    as9567585
        26
    as9567585  
    OP
       2022-10-10 10:45:00 +08:00
    @LykorisR 啊啊 😂,请教下,物理攻击说的是直接拔网线吗?
    myqoo
        27
    myqoo  
       2022-10-10 10:46:28 +08:00
    有低成本的方案,得看什么服务,Web 还是 App ,不同场景防御方式不同。
    cyannnna
        28
    cyannnna  
       2022-10-10 10:49:00 +08:00
    @IvanLi127 ddos 就是这个目的啊,有些服务宕机一会影响很大的。。你自废武功反而不用别人 d 了
    hez2010
        29
    hez2010  
       2022-10-10 11:18:44 +08:00 via Android
    可以试试在服务器上装个带 IPS/DOS 防护的杀毒软件 /防火墙(前提是 Windows Server ),会自动根据传入连接行为阻断可能的攻击连接。
    o00o
        30
    o00o  
       2022-10-10 11:22:43 +08:00
    @lhx2008 CDN 遇到 DDOS 的时候账单会爆表吧,或者会被 cdn 厂商直接回源
    aoling
        31
    aoling  
       2022-10-10 11:26:38 +08:00   ❤️ 4
    @hez2010 你根本不懂 ddos,流量都到服务器了还在做无谓的挣扎
    WOLFRAZOR
        32
    WOLFRAZOR  
       2022-10-10 11:30:28 +08:00
    防 DDoS 目前只能上昂贵的高防服务器。
    newmlp
        33
    newmlp  
       2022-10-10 11:37:24 +08:00
    没有
    newmlp
        34
    newmlp  
       2022-10-10 11:40:54 +08:00
    @hez2010 ddos 打的是你的带宽,就算你阻止了连接,流量还是会到你的网关,正常用户的流量根本进不来
    THESDZ
        35
    THESDZ  
       2022-10-10 11:43:03 +08:00
    ddos 解决方案应该由电信运营商提供支持更合适,可惜没那能力,也没那想法
    hez2010
        36
    hez2010  
       2022-10-10 11:54:25 +08:00
    @aoling @newmlp 但至少不会导致应用负载爆满了。另外阻止了连接后流量是进不来的,因为是直接屏蔽源 IP 地址的,相当于一个自动添加规则的 IP 过滤器。
    hez2010
        37
    hez2010  
       2022-10-10 11:55:34 +08:00
    而且,入站流量一般都是免费的吧,只有出站才收费。
    newmlp
        38
    newmlp  
       2022-10-10 12:02:14 +08:00   ❤️ 2
    @hez2010 那是,但是你带宽被占满了,正常用户的流量也进不来啊,就像开饭店一样,你可以阻止恶意流量进来吃饭,但是你门口的路已经被恶意流量占完了,你阻不阻止人家进来吃饭有啥意义呢,不如关门歇业还能省点电费
    leonshaw
        39
    leonshaw  
       2022-10-10 12:12:42 +08:00
    据说有的运营商可以用 BGP flowspec 在入口把流量丢掉
    killerv
        40
    killerv  
       2022-10-10 12:27:49 +08:00
    @hez2010 #36 ddos 根本不需要和你建立连接,正常流量压根进不来啊;就算应用负载没压力,你也提供不了服务
    dakb
        41
    dakb  
       2022-10-10 14:03:01 +08:00
    套个 CDN ,试情况 CDN 上配限流、黑白名单之类的,交给 CDN 厂商。
    dorothyREN
        42
    dorothyREN  
       2022-10-10 14:48:34 +08:00
    @hez2010 #36 防火墙也是要消耗系统资源的好吧,量大了 光防火墙就能把你机器拖垮
    hoopan
        43
    hoopan  
       2022-10-10 16:12:27 +08:00
    上个月刚处理一波 CC 攻击,就是屏蔽了所有境外访问,大概屏蔽了两周多就好了。哈哈
    攻击的 IP 多的可怕,防火墙的黑名单都放不下了。
    angiie
        44
    angiie  
       2022-10-10 16:26:47 +08:00
    说 CDN 的都是大佬,最好查一下 DDOS 啥
    LykorisR
        45
    LykorisR  
       2022-10-10 17:52:03 +08:00
    @as9567585 报警.......
    serialt
        46
    serialt  
       2022-10-10 17:55:17 +08:00
    停服关机
    aaronlam
        47
    aaronlam  
       2022-10-10 17:56:36 +08:00
    CF
    LanFomalhaut
        48
    LanFomalhaut  
       2022-10-10 18:04:01 +08:00
    服务端跑的什么业务,web 还是端的服务器?
    web 的话可以尝试用云 WAF 来前端过滤下 CC 或者在攻击者未获知你服务器 IP 的情况不被 DDOS 。
    如果是后者的话,只能搬高防机房去了,如果财力大可以加购运营商的近源清洗服务(注意是加购,单纯依托这个服务还是会受限于服务器本身的防御能力,比如 1G 下去就黑洞了那种救不了的)。
    dingwen07
        49
    dingwen07  
       2022-10-10 18:10:38 +08:00 via iPhone
    在国外搞一个 AS 广播你的 IP
    然后直接丢弃掉包裹
    这样国外 DDoS 的流量不可能进到国内服务器
    DeWjjj
        50
    DeWjjj  
       2022-10-10 18:13:23 +08:00
    CDN=>BAN 境外
    w3cll
        51
    w3cll  
       2022-10-10 20:51:54 +08:00
    问题来了,怎么发起 DDoS 攻击?代码写死循环?
    SekiBetu
        52
    SekiBetu  
       2022-10-10 21:11:11 +08:00
    国外流量路由到黑洞里
    kwh
        53
    kwh  
       2022-10-10 21:15:21 +08:00
    摆烂零成本
    pubby
        54
    pubby  
       2022-10-10 21:24:59 +08:00 via iPhone
    国内用阿里腾讯的全站加速。
    ddos 让他们来扛
    再配合重定向之类的规则临时性断掉一些被攻击页面访问
    Sekai
        55
    Sekai  
       2022-10-10 21:28:47 +08:00
    你需要搞一个大新闻出来
    PerFectTime
        56
    PerFectTime  
       2022-10-10 21:32:27 +08:00
    四.省钱别买服务器
    documentzhangx66
        57
    documentzhangx66  
       2022-10-10 21:56:40 +08:00
    DDOS 本来就是经济放大型进攻方式,怎么可能会有小成本防范方式。
    signalas1
        58
    signalas1  
       2022-10-10 21:58:12 +08:00
    DNS 接入 cloudflare 解析
    jousca
        59
    jousca  
       2022-10-10 22:03:35 +08:00
    @as9567585 现在是串通好了,不用攻击,打个电话给对家,对方 IDC 直接给你 IP 拉黑,问就是你被攻击了,加钱解封,其实啥攻击都没有…… 钱到手自动恢复,大家五五分账。
    luckycat
        60
    luckycat  
       2022-10-10 22:06:28 +08:00
    ddos 靠软防火墙是不行的,楼主稍微去了解一下原理,就会明白这个东西没那么容易防得住的。价格贵总是有他的原因的。
    shiny
        61
    shiny  
       2022-10-10 22:16:55 +08:00
    如果是 Web 服务,国内可以用类似加速乐这类服务,藏好源 IP ,同时也不要落下 DNS 的 DDoS 防御
    yankebupt
        62
    yankebupt  
       2022-10-10 22:25:29 +08:00
    @as9567585 这多少年的老话题了
    国内没有 CF 的原因就不说了:审查权直接交给代理机了,国内这环境谁敢做?

    高防 DDOS 其实挺好的,非要纠结成本的话……

    其实有一个非常非常流氓的小成本解决方案,不知道有没有人用……
    就是全路由黑洞,只留各大云提供商的 IP 段路由,想访问?自己实名买云服务器小机当跳板去。
    连监管带访问控制云服务商都替你做好了
    相当于强迫 DDOS 者花正价买流量。
    就没人 D 了

    缺点也显而易见,而且万一风行起来还有其他的不良影响,下次再说
    yankebupt
        63
    yankebupt  
       2022-10-10 22:30:33 +08:00
    @as9567585 当然现在云服务商的小机好多没有内网 IP 了,估计也是防人这么用跳板防 D ,自己的高防就卖不出去了,找找看,可能有些还是有的
    yankebupt
        64
    yankebupt  
       2022-10-10 22:35:23 +08:00
    @as9567585 大家都是懂的,给不懂的解释下:
    相当于买个云服务集团号,有人要访问,交钱,给你在名下开小机跳板,访问是内网 IP 访问的,不暴露 IP
    你要公网 D ,只能把你自己的那台机器 D 死......
    理解了么
    我记得还真有人这么干过
    Cify
        65
    Cify  
       2022-10-10 22:41:43 +08:00
    @hoopan 拿到的 ip 应该可以提交到某些组织吧? 类似邮件的 Black list? 这样下次这些 Ip 肉鸡上网都不能上.
    jKpzPv20NjX56i44
        66
    jKpzPv20NjX56i44  
       2022-10-10 23:17:24 +08:00
    Fail2ban 以及 Crowdsec 。都是很好的防 DDoS 工具。
    Fail2ban 主要是监控你 nginx/httpd/caddy 之类的 log ,同 ip 出现太多失败登陆就改 iptables 把它封了。
    Crowdsec 是 19 年新出来的产物。(前两个小时 A 轮融资成功来着)主要是所有装 crowdsec 的机器一起建立一个 ip filter 。

    个人建议用 crowdsec 吧。毕竟有些客户忘记密码多输几次也不是没有可能😂
    kennylam777
        67
    kennylam777  
       2022-10-10 23:33:28 +08:00
    @qwerzl 你說的是 brute-force 不是 DDoS 好吧
    icy37785
        68
    icy37785  
       2022-10-11 07:36:27 +08:00
    @qwerzl 这两个都是跟防 DDos 没关系的工具。
    mio2022
        69
    mio2022  
       2022-10-11 09:08:07 +08:00
    cloudflare 成本相对小一点防 ddos ,但是对国内访问有时不友好
    as9567585
        70
    as9567585  
    OP
       2022-10-11 10:56:19 +08:00
    @yankebupt "想访问?自己实名买云服务器小机当跳板去。" 😂 这是开发的什么服务,还要用户自己买跳板。。 一般的互联网不会这样啊
    zbzzh
        71
    zbzzh  
       2022-10-11 11:50:50 +08:00 via iPhone
    套 cdn 啊,ddos 基本上无限防,只不过不好防 cc
    LINLESS
        72
    LINLESS  
       2022-10-11 12:11:51 +08:00
    拔网线 物理屏蔽
    Features
        73
    Features  
       2022-10-11 14:37:01 +08:00
    一直很好奇,DDoS 利用的是 HTTP 的 Features 还是 Bug 呢?
    B1acKy1in
        74
    B1acKy1in  
       2022-10-11 18:29:21 +08:00
    两个主要思路
    B1acKy1in
        75
    B1acKy1in  
       2022-10-11 18:30:00 +08:00
    直接拉闸或者价钱(怎么没打完就发出去了
    yankebupt
        76
    yankebupt  
       2022-10-11 21:06:59 +08:00
    @as9567585 阿里云之前有一小段时间真是这样的,那时有统一阿里内网 IP ,不管谁买的云服务器互相之间可以内网互访,然后用户可以买一台阿里小机,内网 IP 访问一堆买不起高防 DDOS 所以不公开公网 IP 的服务,反正不怕被 D 。

    后来就把这个功能取消了。全是专网 IP 不互通了

    你可以翻翻相关的帖子,应该还在。
    xzysaber
        77
    xzysaber  
       2022-10-12 17:02:22 +08:00
    @Features 不是 HTTP ,应该说是网络层。这算一种设计缺陷吧。
    xzysaber
        78
    xzysaber  
       2022-10-12 17:03:19 +08:00
    @xzysaber 传输层。
    Features
        79
    Features  
       2022-10-12 17:34:20 +08:00
    @xzysaber 打错了,我想说的是 TCP/IP
    edis0n0
        80
    edis0n0  
       2022-10-25 20:16:10 +08:00
    @yankebupt #60 ”强迫 DDOS 者花正价买流量“? 1. 不管国内外云厂商的流量都是后付费的 2. 阿里云随便一台 ECS 下行带宽都是 G 口 3. 阿里 /腾讯云找代理买企业实名号只要几十块钱甚至免费送,有的小机场老板每个月欠费几十万,封了就换
    yankebupt
        81
    yankebupt  
       2022-10-25 21:12:44 +08:00
    @edis0n0
    1.对,后付费,但是不实名没交够多少钱的野鸡账号全是预付费
    2.对,是 G 口,但是是实名的,D 一次永远别想用了
    3.对,是几十块,但要你自己充流量进去,是后付费但你要缴保证金先升级账户资格,而且一旦被封身份证就废了,云厂商会帮着你封,有人卖给机场,因为有钱赚,没人卖给 D 人的,而且是 D 内网这种全程证据链直达公安没技术含量的。
    yankebupt
        82
    yankebupt  
       2022-10-25 21:15:31 +08:00
    @edis0n0 被外网 D 了,没处说理去。被内网 D 了,直接客服一封邮件 D 源断网自己发手机短信解封去。D 人? D 你自己呢吧。
    onice
        83
    onice  
       2022-11-15 10:00:45 +08:00   ❤️ 1
    DDOS 本质上是成本的对抗。这种攻击方式经久不衰,就是因为防御成本远高于攻击成本。

    想在被攻击时不影响业务,就老老实实上流量清洗。

    还有个办法是套一层 CDN ,隐藏自己真实的 IP 。不过聊胜于无吧,被攻击的时候会消耗掉你大量的 cdn 流量,银子哗哗往外流。

    对于成规模的企业,对抗 DDOS 攻击的办法也只能是做好预案,在遭受攻击的时候,按照预案接入到指定运营商的流量清洗。

    DDOS 基本上无解。只能花钱去对抗。
    as9567585
        84
    as9567585  
    OP
       2022-12-20 15:24:14 +08:00
    @onice 请教下,这种流量清洗一般说的是对 cc 攻击的吗? 像 syn flood 这种可以清洗出来吗 ?
    onice
        85
    onice  
       2022-12-22 10:56:35 +08:00   ❤️ 1
    @as9567585 CC 攻击是攻击者频繁访问网站某个对服务器资源消耗比较大的页面,让服务器超负荷运转,浪费服务器的系统资源,达到网站未响应的目的。CC 攻击不堵塞服务器带宽,也不是分布式的,所以一般使用 WAF (网站应用防火墙)就能防护,比如阿里云的云盾就有该功能,当某个 IP 短时间内大量请求网站,IP 就会被封禁。比如像安全狗这类防护软件也能很好的保护网站遭受 CC 攻击。

    syn flood 的目的是消耗目标服务器的带宽资源,不像 CC 攻击那样,消耗的是服务器的系统资源。所以,防御 synflood 的方法就是需要一台服务器做中转,该服务器的带宽要大于攻击流量。在中转流量的时候,做一次过滤,筛选出真正的访客,并将流量重定向到网站服务器上。

    举个例子:攻击者的肉鸡集群是 A ,攻击的目标网站是 B 。假定攻击流量为 50G ,,但目标网站带宽却只有 10G 。当 A 向 B 发起请求后,A 的流量 50G ,大于 B 的承受最高流量 10G 。B 的带宽被占满,,此时 B 原有的正常用户就 i 无法访问 B 了。A 向 B 发起多长时间的请求,B 的业务就要中断多长时间。

    如果有一台主机 C ,做中转。这样流量的路径都成为了:A 访问的是 C ,C 再把流量转给 B 。当主机 C 的带宽足够大,能够抗下来 A 的所有流量,C 只需要从流量中甄别出非攻击流量,,只把合法的流量转给 B 。这样就能防御了。syn flood 只是其中 A 向 B 发起攻击的请求方式。当 A 的带宽足够大,A 采用任何攻击请求方式都能消耗掉 B 的带宽。当 C 的带宽足够大,A 用任何攻击请求方式都无法消耗掉 C 的带宽。流量清洗的原理就是这样,万变不离其中。其中的重点是带宽之间的对抗。

    所有,流量清洗可以防止所有类型的 DDOS 攻击。前提是流量清洗服务的带宽大于攻击流量。既然 C 能够做中转,并甄别出合法流量,,它自然也能获知某个 IP 的请求频率,,所以流量清洗也能防御 CC 攻击。
    as9567585
        86
    as9567585  
    OP
       2022-12-22 13:37:34 +08:00
    @onice 感谢详解
    idc906
        87
    idc906  
       2023-08-15 15:27:40 +08:00 via iPhone
    我是做安全的,简单点给你说吧,海外的量比较便宜,所以优先会打海外的量,而且你需要判断被打的
    是 DDOS 还是 CC ,DDOS 打的是 ip 造成带宽堵塞,服务器被黑洞,CC 是模拟真实用户 ip 占用服务器资源,最常见的是刷接口请求造成 cpu 超载,少见的会刷数据库请求,打 TCP 连接数刷端口,有空可以交流这方面的 微 idc906
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5615 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 08:37 · PVG 16:37 · LAX 00:37 · JFK 03:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.