这两天 OpenAI 说被 DDOS 导致服务不行。 这么大的公司,还是全球提供服务的,都能被 DDOS 成这样。 攻击者的成本很低吗?(打成这样一天能要几万吗?) 如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢? 还有 Azure 的 ChatGPT 很稳,是因为世界上没有人可以把微软服务器 DDOS 废吗? 如果 70 亿人同时访问呢?假如 70 亿人同时访问,都不会挂,是不是地球上没有生物可以 DDOS 掉微软了?
小白不是很懂网络,一直感觉 DDOS 仿佛是个无敌的技能(除非抓住始作俑者) 求赐教。
1
retanoj 2023-11-09 14:04:03 +08:00
的确不好解决
|
2
thinkm 2023-11-09 14:06:11 +08:00
DDOS 无解,只能用带宽硬扛
|
3
Lightbright 2023-11-09 14:12:08 +08:00 via Android 2
#全球 70 亿人访问不挂是不是就无敌了
不是的,利用一些技巧可以使攻击流量放大很多倍,能产生 200 亿人同时访问的效果 例如前几天的 rapid reset 攻击 |
4
dzdh 2023-11-09 14:12:23 +08:00
DDoS 无解。只能跟对方拼带宽。成本也没几个钱(相对看攻击的目标)
|
5
itskingname 2023-11-09 14:23:53 +08:00
每天从境内访问境外的数据流量也极其庞大,但是 GFW 却没有受到 DDoS 攻击的效果。所以应该有办法规避。
|
6
sentinelK 2023-11-09 14:40:39 +08:00
"攻击者的成本很低吗?"
相对攻击效果而言,很低。入流的 DDoS 攻击并不是肉鸡、虚拟机直接给服务器发请求这么简单。可以通过一些手段放大攻击压力。(具体方法详见互联网,恕不赘述) "如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢?" DDoS 预防大于防御。 “一直感觉 DDOS 仿佛是个无敌的技能” 也不是,关键看被攻击者的经营策略。如果受害者想在自身业务完全不受影响的情况下,完美防御 DDoS ,确实不现实。 |
7
EchoUtopia 2023-11-09 16:17:31 +08:00
想到一个方法可能可以缓解,可能比较天真:服务器压力大的时候,服务器每秒出若干个工作量证明题,并定时刷新和淘汰题目,服务器随机发送题目给客户端,这段时间,客户端必须发送题目 id 和答案给服务器,从而增加客户端成本。对于新建连接,客户端发起 syn 后,服务器的 ack 包含题目,第三次握手必须给出答案。这种方式也可以供服务器提供商识别自己有很多资源被当作肉鸡了。服务器没有恶意出题的目的,因为这种方式会增加客户端体验变差,不愿意去连接。
|
8
yyzh 2023-11-09 16:25:47 +08:00 via Android
@EchoUtopia DDoS 分 DD 和 CC.DD 是一大堆无用流量一起攻击,上级路由都处理不过来了那你服务器搞其他乱七八糟的全部都没用.因为首先你得能发得出去和能接收数据
|
9
nicoljiang 2023-11-09 16:28:20 +08:00
@EchoUtopia 你这个只能缓解 CC 攻击,真正的 DDoS 是分布式流量攻击。是滔天的洪水、海啸。
|
10
07212423 2023-11-09 16:28:56 +08:00
openai 应该接在 cloudflare 后面的,cloudflare 应该扛 ddos 很有经验才对
|
11
orlog 2023-11-09 16:35:14 +08:00 1
单纯针对网络的 ddos 攻击可以通过流量清洗减轻很大影响,因为攻击者的大部分肉鸡或者发包模式都能被黑名单过滤,但是针对具体服务的 cc 攻击很难防御,因为攻击者只需要相对很少的流量,却能造成很大的后端运算消耗
|
12
cyp0633 2023-11-09 16:50:48 +08:00
@EchoUtopia 这不就是 Cloudflare 的 challenge 在做的事情嘛
|
13
shellcodecow 2023-11-09 16:56:03 +08:00
流量清洗还是可以的, 一边是服务加速 一边是硬抗 没其他方法。 对方攻击也要成本的,清洗以后的流量想要走正常流程,开启校验能再进来,成本也是不少。
|
14
wangj00756 2023-11-09 17:00:32 +08:00
@07212423 大力飞砖,你再有经验也没用啊,这个真没办法
|
15
cdlnls 2023-11-09 17:07:25 +08:00
应该是 CC 攻击,openai 应该是放在 cloudflare 后面,ddos 的流量攻击主要的还是给到了 cloudflare 。如果是 CC 的话,清洗也会有漏掉的,量大的情况下后端还是会有消耗更多的计算资源。
|
16
gps949 2023-11-09 17:11:16 +08:00
其实就类似无线电干扰。单纯的资源对抗。一切的奇技淫巧在绝对的资源优势面前都苍白无力。所以唯一对 DDoS 绝对有效手段就是:不公开服务。。。
|
17
idclight 2023-11-09 17:31:23 +08:00 1
@itskingname 有没有一种可能,墙是旁路而不是串在里面?
|
18
EchoUtopia 2023-11-09 19:11:56 +08:00
@cyp0633 看来我不是在瞎想,如果底层协议就考虑这些应该会好很多。
@yyzh @nicoljiang 搞个 dados 呢,distributed anti-dos ,支持工作量证明题传播,在边缘处验证 |
19
yyzh 2023-11-09 19:55:28 +08:00 via Android
@EchoUtopia 简单点你把 DD 当成是服务器网线被拔就行.你现在所设想的一切都有一个前提就是你能收到请求.而 DD 所做的是使你收不到任何请求.
|
20
yolee599 2023-11-09 20:42:57 +08:00 via Android
@EchoUtopia #7 不可行,因为大量的 IP 包会往你服务器发,不管你要不要都往网卡里怼,直接占满你的网卡队列。这时候除了关机或拔网线没有其他办法
|
21
plasticman64 2023-11-09 20:46:39 +08:00
cloudflare 不能完全阻挡 ddos 吗?
|
22
jiangzm 2023-11-09 20:52:12 +08:00
@itskingname #5 此言差矣
|
23
hanierming 2023-11-10 08:48:58 +08:00
@itskingname 但是墙并不负责处理数据,只是传输数据。openai 需要调用各种内部服务,消耗内部资源。
|
24
JerryYuan 2023-11-10 09:14:00 +08:00 via Android
@itskingname 之前看文了解过 GFW 还不是简单的过滤器,每个包都验证一下再放行。GFW 用的好像是旁路攻击的手段,把流量镜像一份,在旁路上开集群搞你,没问题的包就忽略,什么都不做,有问题的包就给你回个不可达的包,就欺负境外服务器路上时间长给你截胡了。(原理听起来可以抗更大流量,但是不是真的有待考究)
|
25
WashFreshFresh 2023-11-10 09:50:27 +08:00
那是所谓的同行攻击的吗,才可能有利可图,这么大量都是哪几方操纵的?
|
26
kenneth104 2023-11-10 10:17:32 +08:00
工作相关
1 ,攻击成本低于防御成本 2 ,除了服务器前端的墙,还有其他防御,但几大提供商都死过你就知道防不住 3 ,曾经朋友找到 X 信云墙 ( X 堤),但被劝退,防不住 |
27
nicoljiang 2023-11-10 14:22:03 +08:00
@EchoUtopia 你说的大概就是 anycast 吧
|
28
EchoUtopia 2023-11-10 17:01:52 +08:00
|
29
sakura6264 2023-11-10 18:46:08 +08:00
@itskingname 有没有可能一般用户没那么有钱
|
30
letmefly 2023-11-11 15:16:35 +08:00
ddos 是不是靠控制肉机来进行攻击?
|
31
yxmyxmyyy 2023-11-12 09:18:54 +08:00 via Android
好奇 openai 不是套了 cf 吗,应该可以防 dodos 吧
|
33
hubaq 2023-11-16 18:14:52 +08:00
200G DDOS 的成本可能也就千八百块,但你向运营商买 200G 的带宽可不止几百万了
|
34
hubaq 2023-11-16 18:18:41 +08:00
@kenneth104 电信云堤都防不住,那这市面上也没人能防住了
|
35
kenneth104 2023-11-17 09:28:19 +08:00
@hubaq 抗不了的。。他自己就有几百 G 的防御,不行,找了几个同行,不行,找 x 信,不行。。。。
最后不知道是没做了还是怎么样 |