網站被大規模攻擊是種怎樣的體驗?
包括但不限於知乎。
那個時候還不懂應對,只能盼著站長快快搞定,一天,兩天,三天,當持續一個月的時候,是深深的絕望。當網站恢復時,大家通過一些QQ羣等其他聯繫方式奔走相告,告訴自己依然熱愛它,面上大家依舊熱情,但是心裡已經知道不會再好了。因為用幾年培養起來的核心成員在這絕望中已經幾乎流失殆盡了。
DDos 攻擊自打出現以後,就成為最難防禦的攻擊方式。
僅僅在過去的一年裡,DDoS 的數次爆發就讓人大開眼界:
2016年4月,黑客組織對暴雪娛樂發動了 DDoS 攻擊,魔獸世界、守望先鋒多款遊戲出現宕機的情況。
2016年5月,黑客組織針對全球銀行機構發動 DDoS 攻擊,導致約旦、韓國、摩納哥等國的央行系統陷入癱瘓。
2016年9月,法國主機商 OVH 受到 DDoS 攻擊,峯值達到1Tbps 2016年10月,DynDNS 受到 DDoS 攻擊,北美眾多網站無法訪問,受影響的網站均排前列。
在你不經意之間,DDoS 可能已經在互聯網上橫行無忌了。
在談攻防史之前,我們先來看看 DDoS 的攻擊原理,知己知彼,百戰不殆。
什麼是 DDoS 攻擊?
DDoS 攻擊是分散式拒絕服務攻擊(Distributed Denial of Service)的縮寫,核心是拒絕服務攻擊,通過使目標電腦的網路或系統資源耗盡,使服務暫時中斷或停止,導致其正常用戶無法訪問。
而攻擊的形式,又分為帶寬消耗型和資源消耗型。
帶寬消耗型通過 UDP 洪水攻擊、ICMP 洪水攻擊以及其他攻擊類型;資源消耗型包含 CC攻擊、SYN 洪水攻擊、殭屍網路攻擊等。
不同的攻擊類型,我們的應對措施有所不同。不過在我們的日常工作中,我們所使用的 DDoS 攻擊普遍是帶寬消耗型攻擊,也就是說,黑客會針對你的伺服器發送海量 UDP 包、SYN 包,讓你的伺服器的帶寬被攻擊流量佔滿,無法對外提供服務。
舉個例子:用戶通過網路來訪問你的伺服器就如同客人過橋來找你,但是由於你的錢只夠建立一個雙向四車道的橋,但是攻擊者派了 100 輛大卡車,堵在你的橋門口,導致沒有正常客人能夠過橋來找你。
在這種情況下,你如果想要讓你的客人能夠繼續訪問,那就需要升級你的大橋,來讓有空餘的車道給你的客人來通過。
但是,在中國的帶寬由三大運營商移動聯通電信提供接入,互聯網帶寬的成本是非常高的,而攻擊者使用肉雞攻擊,攻擊的成本要低很多,所以我們無法去無限制的升級我們的帶寬。
在互聯網的初期,人們如何抵抗 DDoS 攻擊?
DDoS 並不是現在纔出現的,在過去,黑洞沒有出現的時候,人們如何抵抗 DDoS 攻擊呢?
在互聯網初期,IDC 並沒有提供防護的能力,也沒有黑洞,所以攻擊流量對伺服器和交換機造成很大的壓力,導致網內擁塞,迴環,甚至是伺服器無法正常工作,很多IDC往往採用拔網線之類簡單粗暴的辦法來應對。
後來,一些 IDC 在入口加入了清洗的程序,能夠對攻擊流量進行簡單的過濾,這樣就大大的減輕了伺服器和內網交換機的壓力。
但是機房的承載能力也是有上限的,如果攻擊總量超出了機房的承載能力,那麼會導致整個機房的入口被堵死,結果就是機房的所有伺服器都因為網路堵塞而無法對外提供服務。
後來,黑洞出現了,但是那時候的黑洞也是在機房的入口配置,只是減輕了伺服器的壓力,如果攻擊的總量超出了機房的承載能力,最終還是因入口被堵塞而導致整個機房的伺服器無法對外提供服務。
在這種情況下,宣告了攻擊者的得手,沒有必要再盡心攻擊,但是如果攻擊者並沒有因為目標無法訪問而停手,那麼機房入口仍有擁塞的風險。
後來,黑洞進一步升級,在機房黑洞之上採用了運營商聯動黑洞。
在遇到大流量攻擊時,DDoS防禦系統調用運營商黑洞,在運營商側丟棄流量,可以大大緩解DDoS攻擊對機房帶寬的壓力。
雲計算平臺也廣泛採用了此類黑洞技術隔離被攻擊用戶,保證機房和未受攻擊用戶不受DDoS攻擊影響。
不僅如此,雲計算平臺的優勢在於提供了靈活可擴展的計算資源和網路資源,通過整合這些資源,用戶可以有效緩解DDoS帶來的影響。
黑洞是如何抵擋 DDoS 攻擊的
目前最常用的黑洞防禦手段的流程圖如上圖所示。
攻擊時,黑客會從全球彙集攻擊流量,攻擊流量彙集進入運營商的骨幹網路,再由骨幹網路進入下一級運營商,通過運營商的線路進入雲計算機房,直到抵達雲主機。
而我們的防禦策略剛好是逆向的,雲服務商與運營商簽訂協議,運營商支持雲服務廠商發布的黑洞路由,並將黑洞路由擴散到全網,就近丟棄指定IP的流量。
當雲服務商監測到被攻擊,且超出了免費防禦的限度後,為了防止攻擊流量到達機房的閾值,雲計算系統會向上級運營商發送特殊的路由,丟棄這個 IP 的流量,使得流量被就近丟棄在運營商的黑洞中。
為什麼託管服務商不會替你無限制承擔攻擊?
一般來說,服務商會幫你承擔少量的攻擊,因為很多時候可能是探測流量等,並非真實的攻擊,如果每次都丟入黑洞,用戶體驗極差。
DDoS攻擊是我們共同的敵人,大多數雲計算平臺已經儘力為客戶免費防禦了大多數的DDoS,也和客戶共同承擔DDoS的風險。
當你受到了大規模 DDoS 攻擊後,你不是唯一一個受害者,整個機房、集羣都會受到嚴重的影響,所有的服務的穩定性都無法保障。
除此之外,在上面我們說到,目前 DDoS 都是帶寬消耗型攻擊,帶寬消耗攻擊型想要解決就需要提升帶寬,但是,機房本身最大的成本便是帶寬費用。
而帶寬是機房向電信、聯通、移動等通信運營商購買的,運營商的計費是按照帶寬進行計費的,而運營商在計費時,是不會將 DDoS 的攻擊流量清洗掉的,而是也算入計費中,就導致機房需要承擔高昂的費用。
如果你不承擔相應的費用,機房的無奈之下的選擇自然便是將你的伺服器丟入黑洞。
當你的主機被攻擊後,服務商如何處理?
目前隨著大家都在普遍的上雲,我在這裡整理了市場上的幾家雲計算服務提供商的黑洞策略,來供大家選擇。
如果是被cc攻擊資料庫中會留下很多垃圾數據,清理是一件很煩人的事情,一邊清理一邊罵娘。ddos攻擊遭遇過幾次,最多就是阿里雲直接封機,手動重啟。
什麼體驗?選不了課唄。。學校網頁的伺服器好像小霸王。。想想看,集體選課也算大規模攻擊了吧(;′??Д??`)
「伺服器提了一個問題」「Error 404:page not found"「豆_開小差了」
去搶搶火車票就知道了。感覺是一樣的。
噁心但又吐不出來東西來,你家門鎖孔被人用502堵了的趕腳
卡呀卡呀然後感覺什麼都出不來,數據一直在連接就是沒有收到回復
推薦閱讀:
