本人不是什麼網路安全大咖,只不過是一家大型國企公司的一個小小的網路管理員。經驗不足,在這裡想和大家就DDoS防禦探討幾個觀點,希望能拋磚引玉。好了,這是我的觀點:

大多數的網頁服務都過於集中,便於攻擊,導致了因為防禦成本的成倍提升而防禦困難,而我們可以依照「菜籃子」原理設計網路架構,既然網路攻擊能分散式攻擊,那麼我們同樣可以將服務端做成分散式的要明白我的觀點,首先要了解DDoS的原理,攻擊者追尋這以下幾點思路進攻擊:1.基於IP地址的對指定某伺服器的攻擊2.伺服器承受的帶寬上限

3.解決掉中間通道運營商

4.針對伺服器中的某個服務看了大家關於DDoS的發言,很多人願意在第二項上面下手,即提升帶寬上限來增加硬防,為在無法判斷數據交換請求的硬性需求是否是真正所需的情況下,這種土豪做法是最明顯的提升方法,也是成本最高的方法。在我國通道流量算比較貴的情況下,這種方法的代價太高使防禦變成了一種瓶頸。但我探討以下幾種觀點及其延伸:一、針對基於IP地址的攻擊,是受攻擊面過於集中,但如果我們擁有足夠多的IP、使用多個DNS域名解析,甚至啟用DDNS動態域名(技術可能還不成熟),將域名分散式建立,然後進行加上疏流管理,是不是能緩解一些壓力?換句話說,從A到B原先只有1條路,當人滿為患時,我們除了將道路修寬之外,可以新增道路(訪問地址1,訪問地址2)可以安裝交通燈(提示:當前地址1用戶已滿,前面排隊用戶還有88個,或者選擇地址2)增加訪問時間限制(距您在本網頁處理還有998秒)等這些可能性不能實現?在我所管轄的網路里,我們公司擁有自己的內部網路,使用的做法之一就是建立多通道的伺服器分散式集群,有一個前端掛了的時候,我們可以使用另外一個前端進行備投。許多網遊公司都有這樣的概念:用戶分為電信、聯通、鐵通用戶,這樣能有效的進行數據交換請求的分流,能一定程度上緩解DDoS壓力,但這並不能從根本上緩解壓力,所以很多人說這個方法然並卵。

二、針對基於帶寬上限的攻擊,這個現有的技術只能做到土豪做法,即給錢,提升硬防。我探討的是三點:

1.減少數據交換需求。進行類似數據流進行壓縮和檢測排除的做法,減少對通道的壓力比如用戶提出需求:「老闆,今天天氣很不錯,給我來兩斤白酒」。這個就是一個數據交換的過程,作為「老闆」,我們可以辨別出「今天天氣很不錯」這句話是費詞,可以去掉以減少通話時間(通道流量),那麼能做到壓縮並檢測排除數據流的東西,我第一個想到的就是登錄客戶端了,一方面可以對數據流進行加密處理,一方面可以優化數據交換需求。2.減少通道成本。這個可以根據各個地域不同的通道費用,選擇相應較低費用的通道,甚至考慮服務端對外使用並行多路動態(使用動態域名技術)+靜態網路(專線VPN),伺服器集群之間使用靜態固定網路,這樣做的原因是由於動態網路的成本要遠低於靜態成本,減少通道投入成本相應的就減少了防禦成本。先寫到這裡吧,有空再繼續補充。


然並卵你100G入口,直接塞200G給你,馬上跪了

使用anycast技術。

Cloudflare就是用的這種技術,每個網站一個Anycast IP,利用Anycast通信技術在他的全球邊緣節點宣稱一個IP,這樣就可以將DDoS流量自動引流到發出源附近的清洗中心,然後快速辨別攻擊、丟棄攻擊的數據包。


網路安全行業測試一枚,試著答下~~題主說的兩種方案,歸納一下:1、足夠多的域名或IP;2、足夠的帶寬;要知道,路寬了照樣會堵車呀~~而演算法和策略,就是紅綠燈,我覺得應該在這上面下功夫,攻擊報文大部分有明顯的規律性,不管是隨機源還是固定源,抓住這個規律性,都牽引到黑洞路由就好了,問題就在於區分這裡的恐怖分子和良民,識別了就能讓正常的用戶繼續,恐怖分子拉進黑洞。
只有p2p這種客戶雲才能真正對抗ddos吧。。
題主,請把DDOS改成DDoS,謝謝!實在不容忍這樣的錯誤。

你聽過anycast么?

度娘的百科:

Anycast最初是在RFC1546中提出並定義的,它的最初語義是,在IP網路上通過一個Anycast地址標識一組提供特定服務的主機,同時服務訪問方並不關心提供服務的具體是哪一台主機(比如DNS或者鏡像服務),訪問該地址的報文可以被IP網路路由到這一組目標中的任何一台主機上,它提供的是一種無狀態的、儘力而為的服務。

DDOS攻擊和anycast結構近似於

DDOS攻擊方網路設備1 / anycast 伺服器1 網路設備2 / anycast 伺服器2網路設備3 =======流量======= (anycast ip) ……. / ……網路設備N/ anycast伺服器n


推薦閱讀:
相关文章