解决 ddos/cc 攻击的完美解决方案(可惜国内未推进)
8520ccc · 2022-10-10 10:01:51 +08:00 via iPhone · 6496 次点击这是一个创建于 1117 天前的主题,其中的信息可能已经有所发展或是发生改变。
和 cf 一样做 anycast 就可以了
例如 CDN 在全国 34 个省市都设立机房,然后用同一个 IP
例如:6.6.6.6
然后上海移动的用户直连上海移动的 CDN 边缘节点
也只有上海移动的用户能直连到上海移动的 CDN 边缘节点
这样的话,上海移动如果被攻击 ddos ,也只有上海移动的 IP 才能实施,其他区域的 IP 都不可能攻击到
而即使上海移动有一定攻击量,也很难打动……
因为这时候消耗的都是省内 /市内的宽带,成本很低……
这时候只需要在边缘节点上过滤一遍攻击流量 /CC 请求
再将正常的请求推到源站就好了(这样也能节省一部分跨省甚至跨国的攻击流量,节省成本)
而现在国内的 CDN 都是一个机房一个 IP 段
如果被攻击,全球的攻击流量都能到……
这样应该完全是有利无弊的,不知为何不推进这项技术……
例如 CDN 在全国 34 个省市都设立机房,然后用同一个 IP
例如:6.6.6.6
然后上海移动的用户直连上海移动的 CDN 边缘节点
也只有上海移动的用户能直连到上海移动的 CDN 边缘节点
这样的话,上海移动如果被攻击 ddos ,也只有上海移动的 IP 才能实施,其他区域的 IP 都不可能攻击到
而即使上海移动有一定攻击量,也很难打动……
因为这时候消耗的都是省内 /市内的宽带,成本很低……
这时候只需要在边缘节点上过滤一遍攻击流量 /CC 请求
再将正常的请求推到源站就好了(这样也能节省一部分跨省甚至跨国的攻击流量,节省成本)
而现在国内的 CDN 都是一个机房一个 IP 段
如果被攻击,全球的攻击流量都能到……
这样应该完全是有利无弊的,不知为何不推进这项技术……
 |
1
julyclyde 2022-10-10 10:06:36 +08:00  8
你知道 ddos 第一个 d 字啥意思嘛?
你知道各服务商都有 anycast 吗? |
 |
2
cxh116 2022-10-10 10:11:33 +08:00
GEODNS 一样可以实现你这样的效果,虽然 IP 不同,但效果跟你说的这操作差不多.
流量足够大, CDN 被打穿,全回到源,一样挂,只是攻击成本的问题. |
 |
3
xiao109 2022-10-10 10:26:57 +08:00 2
错觉之一,这么好的方案怎么只有我想到了
|
 |
4
aoling 2022-10-10 10:39:34 +08:00
就近处理,分布式清洗攻击流量,各运营商都有这个技术的呀,
最终还是要有人抗下这些流量的 |
 |
5
Depth 2022-10-10 10:48:14 +08:00
成本问题,另 anycast 该技术国内各家好几年前就开始提供该技术的防御 IP 了,国内碍于成本没法平衡而已。
|
 |
6
Xusually 2022-10-10 10:55:50 +08:00 via iPhone
这……不然 op 认为现在的高防 cdn ,高防 ip ,分布式流量清洗是怎么实现的,都是类似的技术,不过就是要付出多少成本而已。
|
 |
7
dingwen07 2022-10-10 10:57:18 +08:00
Anycast 是让每个区域的肉机只能攻击当前区域的服务器,理论上确实是要比 GEODNS 更好的
不过话说国内 DDoS 的肉机都是哪来的。。。 |
 |
8
songpengf117 2022-10-10 10:57:39 +08:00 via iPhone 2
试看区块链技术能不能完美解决 ddos/cc 攻击
|
 |
9
Jamy 2022-10-10 11:00:06 +08:00
@songpengf117 这也能用区块链技术解决?
|
 |
10
AA5DE3F034ACCB9E 2022-10-10 11:04:29 +08:00
@Jamy 区块链包治百病
|
 |
11
mhycy 2022-10-10 11:07:01 +08:00
先看看国内的 BGP 接入价格再来讨论扛 DDOS 的问题,运营商不中立结果就是 BGP 带宽价格高得飞起
另外,还有基于 BGP 的 DDOS 流量重定向清洗方案 参考 https://www.akamai.com/zh/products/prolexic-solutions 因为 BGP 接入的困难性,这东西在国内难以普及 |
 |
13
bobryjosin 2022-10-10 12:37:22 +08:00 via iPhone
@julyclyde buff 叠满哈哈
|
 |
14
nightwitch 2022-10-10 13:24:25 +08:00 2
cdn 不用收费的吗。。
也许你源站确实抗住了,DDOS 没把你源站打死,结果月底一看 cdn 账单 20 万,这也算解决 ddos 了吗 |
 |
17
ZeroClover 2022-10-10 13:29:36 +08:00
@nightwitch 实际上利用防御成本远高于攻击成本来迫使因为账单问题导致网站下线也是 DDoS 的目的之一
|
 |
18
8520ccc OP @nightwitch 真的有大的 CDN 服务商提供这种方案了 直接防御免费了,因为基本不可能打死
攻击无效 参考 cloudflare (无限防且服务免费。。。) 现在被攻击 CDN 贵的原因正是因为没有实施这项技术 导致被攻击清洗时成本极高(且有可能被打死) |
|
19
8520ccc OP |
|
20
8520ccc OP @julyclyde 国内的 CDN 基本都用过
阿里 /腾讯 /百度 /百度云加速 /华为(而我主要指的是这些主流的大的 CDN 服务商) 基本都不是这个实现,都是通过 DNS 进行分区的。。。。。 阿里 /腾讯 倒是都有这项业务 但是都是提供海外的 |
|
22
8520ccc OP |
|
24
8520ccc OP @cxh116 完全不同啊 我全部流量集中打你一个区域的节点就好了(一个个摁过去)
例如就打你上海电信的节点 全球 500G 流量过来 你上海电信就得有这么多宽带吃得下才行吧 但是如果是 anycast 得你上海得攻击流量有这么多才行了。。。。 |
 |
25
mytsing520 PRO |
 |
27
qwvy2g 2022-10-10 15:01:46 +08:00 via Android
为什么不在用户侧部署联动设备自动阻断?
|
 |
28
loukky 2022-10-10 15:03:56 +08:00 via Android
anycast 并不是国内没有,只是说 CDN 一般拿不下来,国内的任播好像 DNS 比较多,阿里的,114 的都是 anycast
|
 |
29
xuanbg 2022-10-10 15:30:29 +08:00
OP 的错觉:DDOS 的流量都从一个地方来。。。
|
 |
30
ryanbuu 2022-10-10 15:57:32 +08:00
有啥难的,实在不行就上元宇宙
|
 |
31
dorothyREN 2022-10-10 16:06:06 +08:00
anycast 他只要能打挂你一个地区,那你所有地区都会被打卦
|
 |
32
lysS 2022-10-10 16:19:07 +08:00
如果 client 不是 web, 可以给 client 分组,不同的组只能请求独有的 ip ,被攻击的也只是个别组、影响有限,可以直接不管它
|
 |
33
leonshaw 2022-10-10 16:27:52 +08:00
这样只能缩小影响范围,打挂一个区域反而更容易了
|
 |
34
jy02201949 2022-10-10 17:14:07 +08:00
业内了解都知道运营商这块有整套解决方案的,直接用国内运营商在骨干网络上部署抗 D 服务,电信的云堤、联通的云盾等,ddos 流量还没到机房就被干了,当然,对应的价格也很美丽
|
 |
35
icy37785 2022-10-10 21:37:33 +08:00
总有人认为成本问题是技术问题,然后开始发问,这么好的技术为什么不用。
|
 |
36
ayconanw 2022-10-11 03:21:30 +08:00
最简单的方法,套 cf ,然后服务器只给 cf 的 ip 开白名单
|
 |
37
L0L 2022-10-11 07:16:47 +08:00
应用中类似的缓存穿透
|
 |
38
29EtwXn6t5wgM3fD 2022-10-11 14:39:36 +08:00
各大厂商 CDN 为了成本都租用大量的运营商廉价的三线城市机房,甚至还有 PCDN ,把 Anycast 覆盖到这些 IP 几乎不可能
|
Select Language