几十万换来的DDoS攻击防护经验(转载)
这是一位本人还没入行的时候的大神写的博客,对于现在的云防护,很多都是太多智能,了解一下前辈的防护经验也好。(文中出现的信息仅供参考)
本人从事网络安全行业20年。有15年防ddos攻击防护经验。被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等。
2004年记得是,晚上我带着螺丝刀,晚上2点去机房维护,有ddos攻击,被警察当贼了,汗,那时华夏黑客同盟天天有攻击,远程连接不上得去机房,机房也不知道ddos是什么只知道流量大,一句话,你中病毒了。电信通机房惠普大厦机房。
1.言归正传
首先我们说说ddos攻击方式,记住一句话,这是一个世界级的难题并没有解决办法只能缓解
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。这是一个世界级的难题并没有解决办法只能缓解.
按照发起的方式,DDoS可以简单分为三类。
第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见。
第二类以巧取胜,灵动而难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,例如Slowloris攻击、Hash冲突攻击等,需要特定环境机缘巧合下才能出现。
第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,例如SYN Flood攻击、DNS Query Flood攻击,是当前的主流攻击方式。
这里具体的攻击原理不做讲解,可以参考本人DDoS分类的文章。常见DDoS攻击
2.防御方法
如果超过>10G 攻击,如果大于10G攻击软件防护就扯蛋,下面记住一句话,防ddos攻击大小于取决于你带宽的大小,与软件没关系。
国内现在100M带宽一个月就,便宜的8000,贵的2万多,1G带宽,8万,10G带宽,80万,你确定要自己防护?
业务逻辑很很多种,每家都不太一样,
WEB类型,这个是攻击最多,防护方案更广,可以选择国内,国外,cdn加速等,
游戏类型,这个必须得放在国内,放国外太卡,掉线,没人玩了。
解决办法就是找第三方防ddos解决商,10~50G防护,国内很多机房都可以防护,问题你给的钱够不够idc机房是否给你防护,他们防护示意图,
机房有一个总带宽,如果你攻击带宽太大就影响他正常客户,他就会找各种借口给你ip屏蔽。
很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。
实际对机房没有什么影响,但是机房就给你ip屏蔽了,这个用于攻击游戏类网站,搞一会一掉线,用户全掉光了,50G之间,单机防护,浙江,江苏,广东,都可以防都可以防护,月成本,2万左右,(价格说小于1万那就是骗子,已经测试过)
网上很多说无视,320G防护,全是吹牛的,他说的320G,应当就是udp攻击,因为电信上层给屏蔽了udp带宽,
广东有双线,合适放游戏类网站,速度快,防护还可以,广东有些ip是屏蔽国外的流量,还有屏蔽联通的流量,意思就是除了电信的别的地方的流量都过不来,
就像这个ISP近源清洗100~200G之个,这个现在是关键了,现在攻击这个是最多的,游戏类网站如果有怎么大攻击放国内,现在能有怎么大防护的,电信,广东,福州,广西,联通,有大连,福州买过,2万多一个月,说防300G,130G就给封了,骗子,dns防护也不行,10G左右的dns攻击直接搞死了。
广东机房买过,3万一个月,100g 就给封了,不过广东可以秒解,买200个ip,还是能防一会,广东的直接访问不了dns,机房做策略了。
广西,这个正测试,前几天放了dns在广西机房,打死了。
DNS攻击防护也是重点,买了dnspod的最贵那个版本3万多/年,封了,dnspod也,老吴不在那了吗?搞别的去了,现在真是垃圾,指着dnspod防护差远了,我给大家介绍一下,google有dns防护,好用,比dnspod便宜很多,还有CF,也非常好,200刀,没打死过。
上面就浪费十来万,测试dns测试100G防护,总结的经验,
游戏的只能放国内,还得看是udp,还是tcp,所以防护范围小。
WEB的防护比较多,可以考虑放国外,现在国外比较能吹的,美国SK机房,防100G,买了,安排机器花了2天,这个攻击完了ip,封1小时,真心不行。机房还老掉线,花了1万左右可能一个月,美国hs机房,防80G,一个月8万,买了,打死了,他防到40G左右就给你封了,也跟骗子差不多,说是要加到200G防护,没看到,美国CD机房,最后花了>10万每月,找的他们老板防住了,但是dns防护不行。
还有一家机房可以推荐,加拿大机房,单机防160G,集群480G,不封ip,防护还可以,缺点,卡,国内ping掉包,8000左右一个月,20元一个ip,
上面速度最快的是hs机房国内,150ms左右,没攻击的时候用用还行,有攻击防护差点意思。
云加速
最后说一下,云加速,
国内的云盾,收费死贵,防护不行,别看他家的了。
阿里云防护,单机防4个G,不贵,小企业可以用,缺点得备案,还有如果你有非法信息,他们可以直接给报官了(最垃圾的是这点)
百度云加速,说是防1T攻击,我认真研究了一下,他是联合,国外的CF云加速,电信的云堤(近源清洗)说能防1T,攻击400G他转到CF国外,国内600G攻击,全是云堤防护的,
什么是近源清洗,就是江苏有攻击,到电信江苏的出口的时候,isp,中国电信直接不让他出口。
目前如中国电信的专门做抗DDOS的云堤提供了[近源清洗]和[流量压制]的服务,对于购买其服务的厂商来说可以自定义需要黑洞路由的IP与电信的设备联动,黑洞路由是一种简单粗暴的方法,除了攻击流量,部分真实用户的访问也会被一起黑洞掉,对用户体验是一种打折扣的行为,本质上属于为了保障留给其余用户的链路带宽的弃卒保帅的做法,之所以还会有这种收费服务是因为假如不这么做,全站服务会对所有用户彻底无法访问。对于云清洗厂商而言,实际上也需要借助黑洞路由与电信联动。
百度云加速,还没测试过,不评价,总结国内的厂商全是吹牛B的比较多,行业就这样,国外的比较可靠,但是收费的确不便宜,三家,可以推荐:
亚马逊,30G攻击无视,攻击大了,也给你封了,推荐他最大优点,按流量收费,可以按小时收费,不要备案,国内还得先备案,这我买6个节点,用三天死了。
CF加速,这个dns防护无敌,百度云加速就是联合的他家。
akamai,这家是给苹果做防护的,说只有苹果发布会的打死过一次,我没试太贵了,1G,3.5元,一天估计就得5000左右一天,
CDN加速,是防CC的一个主要手段,CDN/Internet层CDN并不是一种抗DDOS的产品,但对于web类服务而言,他却正好有一定的抗DDOS能力,以大型电商的抢购为例,这个访问量非常大,从很多指标上看不亚于DDOS的CC,而在平台侧实际上在CDN层面用验证码过滤了绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。
对http CC类型的DDOS,不会直接到源站,CDN会先通过自身的带宽硬抗,抗不了的或者穿透CDN的动态请求会到源站,如果源站前端的抗DDOS能力或者源站前的带宽比较有限,就会被彻底DDOS。
3.什么样的网站容易受到攻击
如果你是正规网站,你别怕有攻击,不会有怎么大攻击的,现在黑客主要攻击那些非正规的网站,H 站,棋牌,菠菜,都是攻击要钱的,
正规网站他不会天天来打死你,攻击你的都是竞争对手。如果有一天,有人攻击你要钱,下面就是要做的事,立案和追踪。
目前对于流量在100G以上的攻击是可以立案的,这比过去幸福了很多。过去没有本土特色的资源甚至都没法立案,但是立案只是万里长征的第一步,如果你想找到人,必须成功完成以下步骤:
- 在海量的攻击中,寻找倒推的线索,找出可能是C&C服务器的IP或相关域名等
- “黑”吃“黑”,端掉C&C服务器
- 通过登录IP或借助第三方APT的大数据资源(如果你能得到的话)物理定位攻击者
- 陪叔叔们上门抓捕
- 上法庭诉讼
如果这个人没有特殊身份,也许你就能如愿,但假如遇到一些特殊人物,你几个月都白忙乎。而黑吃黑的能力则依赖于安全团队本身的渗透能力比较强,且有闲情逸致做这事。这个过程对很多企业来说成本还是有点高,光有实力的安全团队这条门槛就足以砍掉绝大多数公司。笔者过去也只是恰好有缘遇到了这么一个团队。
是有成功案例,燕郊,黄总,有人攻击他要钱,完了他打了几千,报警抓住了。但不是你报警就有人管你的,还得有关系(国情你懂的)不过,你可以找我呀,我可以告诉你怎么办呀。哈哈。
4.总结
WEB网站攻击,一般流量,直接syn,udp,打不死,就攻击你的dns,不行还能举报你,
游戏网站,他不直接打死你,让你老掉线,玩不了,目的达到了。所以这类网站需要提前布置防护。
还有支付类网站,中小企业,主要看攻击量的大小选择方案,如果你们公司不差钱,那就别向下看了,下面我可是报行业内幕:
<30G攻击,3000左右一个月,非连续攻击,可用,单机防,
<50G攻击,1万左右一个月,非连续攻击,可用,双机防,
<100G攻击,2~3万,连续攻击/日,需要用集群防,
<300G攻击,5~8万,连续攻击/日,需要集群,加CDN,学习百度云加速,国外的防护让CF帮着防,国内的找云堤防。
所以,总结一下那些公司是骗人的,你们不白花钱去再测试了。我已经测试过了。时间紧很多点没有写全,写透,今后找个时间再总结分类。