一、介绍
对于DDos攻击搞运维的都应该算是比较熟悉了,笔者运维有过游戏币交易平台的运维经验,经常被攻击(游戏平台被攻击的频率更高)。攻击常见有CC攻击与DDos攻击,两者均属于入门级攻击,其实也是比较好防御的攻击。
- CC攻击
- 攻击的原理
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
- 攻击的种类
CC攻击的种类有三种,直接攻击,代理攻击,僵尸网络攻击,直接攻击主要针对有重要缺陷的 WEB 应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见(笔者曾经投过一家公司简历,之后天天用webbeach刷他们的平台网站,导致他们的网站经常打不开,后面去面试过程中还听到面试官说最近老是有人刷他们网站,面试官考验我说用有哪一些防御方法。没过几天他们那边应该改架构了,webbeach就没用了。最终也没能拿到offer,遗憾)。
- DDoS攻击
- 攻击的原理
DDoS就是利用更多的傀儡机来发起进攻,通过大流量来进攻受害者,使服务端网络带宽达到峰值,无法再为客户提供正常的响应(笔者以前经常遭受DDOS攻击,以前用阿里云因为其默认防御为5G(可以通过加入绿网升级DDOS流量防御,一旦攻击流量过大则阿里云直接将服务器拉黑,这点也是非常恐怖的,那个时候购买了多台服务器和SLB进行DNS轮询分流,无奈对方攻击流量过于庞大,后面采用IDC搞法解决))。
- 攻击的种类
多个客户端发起端口请求,大量流量发送过来,导致带宽占满。目前ddos攻击基本都是idc或者专门做ddos流量攻击的公司才有,一般持续性的ddos攻击基本都是竞争对手在砸钱(之前像ddos攻击的相关公司咨询过大概8000块钱一天的样子将网站打瘫,对方大概出50~70G每秒的流量,如果高的话价格另算)。
二、场景
发现被网站被攻击时则需要进行考虑怎么防护,最好是在没被攻击的时候就要做好防御准备。运维工程师日常工作除了7*24小时响应还得包含网站不宕机等。基本如履薄冰,有条件的话建议转行不要再做运维。
三、解决方案
1.通过绿网增加ddos流量防护
- 常规账号添加绿网后账号云盾防御流量会加到20~30G
- 通过WAF做CC防护
- 优点
- 此种方法对应那些想提升ddos防护又苦于ddos成本较高的公司是比较适用的
- 缺点
- 绿网能给提高的ddos防护流量峰值也有限,如果是比较敏感的站点建议不要用此种方法,因为一旦超过阿里云盾防护峰值,ECS立马会被拉黑,得不偿失。
2.阿里云DDos高防操作
- 与第一种不同的是在请求入口端添加阿里DDos高防
- 阿里DDos防护峰值支持到300G
- 优点
- 比较叼,超过300G流量的话可以考虑双IP快速切换
- 缺点
- 钱是个问题,据说闲来麻将一年的高防运维成本预算为3000W
- 注意事项
- 一定要加白名单
- 云盾也加上
3.IDC高防加阿里云waf
- IDC高防价格比较合适
- 注意白名单
- 优点
- 价格比较合适
- 缺点
- 误杀率高
四、总结
以上方案基本都是基于阿里云产品来做的,阿里云产品确实有它的优势,也可以使用纯IDC的架构方案。这里仅讨论DDos高防解决方案。
留言