几十万换来的Ddos攻击防护经验分享(转载)
发布时间:2017-01-05 来源:服务器之家
本人从事网络安全行业20年。有15年防ddos攻击防护经验。被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等。
2004年记得是,晚上我带着螺丝刀,晚上2点去机房维护,有ddos攻击,被警察当贼了,汗,那时华夏黑客同盟天天有攻击,远程连接不上得去机房,机房也不知道ddos是什么只知道流量大,一句话,你中病毒了。电信通机房惠普大厦机房。
言归正传
首先我们说说ddos攻击方式,记住一句话,这是一个世界级的难题并没有解决办法只能缓解
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。这是一个世界级的难题并没有解决办法只能缓解.
按照发起的方式,DDoS可以简单分为三类。
第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见。
第二类以巧取胜,灵动而难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,例如Slowloris攻击、Hash冲突攻击等,需要特定环境机缘巧合下才能出现。
第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,例如SYN Flood攻击、DNS Query Flood攻击,是当前的主流攻击方式。
~~~~~~~~~~~~~~~~~~~~~~~~~~
防御方法
如果超过>10G 攻击,如果大于10G攻击软件防护就扯蛋,下面记住一句话,防ddos攻击大小于取决于你带宽的大小,与软件没关系。
国内现在100M带宽一个月就,便宜的8000,贵的2万多,1G带宽,8万,10G带宽,80万,你确定要自己防护?
业务逻辑很很多种,每家都不太一样,
WEB类型,这个是攻击最多,防护方案更广,可以选择国内,国外,cdn加速等,
游戏类型,这个必须得放在国内,放国外太卡,掉线,没人玩了。
解决办法就是找第三方防ddos解决商,10~50G防护,国内很多机房都可以防护,问题你给的钱够不够idc机房是否给你防护,他们防护示意图,
机房有一个总带宽,如果你攻击带宽太大就影响他正常客户,他就会找各种借口给你ip屏蔽。
很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。
实际对机房没有什么影响,但是机房就给你ip屏蔽了,这个用于攻击游戏类网站,搞一会一掉线,用户全掉光了,50G之间,单机防护,浙江,江苏,广东,都可以防都可以防护,月成本,2万左右,(价格说小于1万那就是骗子,已经测试过)
网上很多说无视,320G防护,全是吹牛的,他说的320G,应当就是udp攻击,因为电信上层给屏蔽了udp带宽,
广东有双线,合适放游戏类网站,速度快,防护还可以,广东有些ip是屏蔽国外的流量,还有屏蔽联通的流量,意思就是除了电信的别的地方的流量都过不来,
就像这个ISP近源清洗100~200G之个,这个现在是关键了,现在攻击这个是最多的,游戏类网站如果有怎么大攻击放国内,现在能有怎么大防护的,电信,广东,福州,广西,联通,有大连,福州买过,2万多一个月,说防300G,130G就给封了,骗子,dns防护也不行,10G左右的dns攻击直接搞死了。
广东机房买过,3万一个月,100g 就给封了,不过广东可以秒解,买200个ip,还是能防一会,广东的直接访问不了dns,机房做策略了。
广西,这个正测试,前几天放了dns在广西机房,打死了。
DNS攻击防护也是重点,买了dnspod的最贵那个版本3万多/年,封了,dnspod也,老吴不在那了吗?搞别的去了,现在真是垃圾,指着dnspod防护差远了,我给大家介绍一下,google有dns防护,好用,比dnspod便宜很多,还有CF,也非常好,200刀,没打死过。
上面就浪费十来万,测试dns测试100G防护,总结的经验,
游戏的只能放国内,还得看是udp,还是tcp,所以防护范围小。
WEB的防护比较多,可以考虑放国外,现在国外比较能吹的,美国SK机房,防100G,买了,安排机器花了2天,这个攻击完了ip,封1小时,真心不行。机房还老掉线,花了1万左右可能一个月,美国hs机房,防80G,一个月8万,买了,打死了,他防到40G左右就给你封了,也跟骗子差不多,说是要加到200G防护,没看到,美国CD机房,最后花了>10万每月,找的他们老板防住了,但是dns防护不行。
还有一家机房可以推荐,加拿大机房,单机防160G,集群480G,不封ip,防护还可以,缺点,卡,国内ping掉包,8000左右一个月,20元一个ip,
上面速度最快的是hs机房国内,150ms左右,没攻击的时候用用还行,有攻击防护差点意思。
~~~~~~~~~~~~~~~~~~~~~~~~~~
最后说一下,云加速,
国内的云盾,收费死贵,防护不行,别看他家的了。
阿里云防护,单机防4个G,不贵,小企业可以用,缺点得备案,还有如果你有非法信息,他们可以直接给报官了(最垃圾的是这点)
百度云加速,说是防1T攻击,我认真研究了一下,他是联合,国外的CF云加速,电信的云堤(近源清洗)说能防1T,攻击400G他转到CF国外,国内600G攻击,全是云堤防护的,
什么是近源清洗,就是江苏有攻击,到电信江苏的出口的时候,isp,中国电信直接不让他出口。
目前如中国电信的专门做抗DDOS的云堤提供了[近源清洗]和[流量压制]的服务,对于购买其服务的厂商来说可以自定义需要黑洞路由的IP与电信的设备联动,黑洞路由是一种简单粗暴的方法,除了攻击流量,部分真实用户的访问也会被一起黑洞掉,对用户体验是一种打折扣的行为,本质上属于为了保障留给其余用户的链路带宽的弃卒保帅的做法,之所以还会有这种收费服务是因为假如不这么做,全站服务会对所有用户彻底无法访问。对于云清洗厂商而言,实际上也需要借助黑洞路由与电信联动。
百度云加速,还没测试过,不评价,总结国内的厂商全是吹牛B的比较多,行业就这样,国外的比较可靠,但是收费的确不便宜,三家,可以推荐:
亚马逊,30G攻击无视,攻击大了,也给你封了,推荐他最大优点,按流量收费,可以按小时收费,不要备案,国内还得先备案,这我买6个节点,用三天死了。
CF加速,这个dns防护无敌,百度云加速就是联合的他家。
akamai,这家是给苹果做防护的,说只有苹果发布会的打死过一次,我没试太贵了,1G,3.5元,一天估计就得5000左右一天,
CDN加速,是防CC的一个主要手段,CDN/Internet层CDN并不是一种抗DDOS的产品,但对于web类服务而言,他却正好有一定的抗DDOS能力,以大型电商的抢购为例,这个访问量非常大,从很多指标上看不亚于DDOS的CC,而在平台侧实际上在CDN层面用验证码过滤了绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。
对http CC类型的DDOS,不会直接到源站,CDN会先通过自身的带宽硬抗,抗不了的或者穿透CDN的动态请求会到源站,如果源站前端的抗DDOS能力或者源站前的带宽比较有限,就会被彻底DDOS。
~~~~~~~~~~~~~~~~~~~~~~~~~~
如果你是正规网站,你别怕有攻击,不会有怎么大攻击的,现在黑客主要攻击那些非正规的网站,H 站,棋牌,菠菜,都是攻击要钱的,
正规网站他不会天天来打死你,攻击你的都是竞争对手。如果有一天,有人攻击你要钱,下面就是要做的事,立案和追踪。
目前对于流量在100G以上的攻击是可以立案的,这比过去幸福了很多。过去没有本土特色的资源甚至都没法立案,但是立案只是万里长征的第一步,如果你想找到人,必须成功完成以下步骤:
在海量的攻击中,寻找倒推的线索,找出可能是C&C服务器的IP或相关域名等
“黑”吃“黑”,端掉C&C服务器
通过登录IP或借助第三方APT的大数据资源(如果你能得到的话)物理定位攻击者
陪叔叔们上门抓捕
上法庭诉讼
如果这个人没有特殊身份,也许你就能如愿,但假如遇到一些特殊人物,你几个月都白忙乎。而黑吃黑的能力则依赖于安全团队本身的渗透能力比较强,且有闲情逸致做这事。这个过程对很多企业来说成本还是有点高,光有实力的安全团队这条门槛就足以砍掉绝大多数公司。笔者过去也只是恰好有缘遇到了这么一个团队。
是有成功案例,燕郊,黄总,有人攻击他要钱,完了他打了几千,报警抓住了。但不是你报警就有人管你的,还得有关系(国情你懂的)不过,你可以找我呀,我可以告诉你怎么办呀。哈哈。
~~~~~~~~~~~~~~~~~~~~~~~~~~
总结
WEB网站攻击,一般流量,直接syn,udp,打不死,就攻击你的dns,不行还能举报你,
游戏网站,他不直接打死你,让你老掉线,玩不了,目的达到了。所以这类网站需要提前布置防护。
还有支付类网站,中小企业,主要看攻击量的大小选择方案,如果你们公司不差钱,那就别向下看了,下面我可是报行业内幕:
<30G攻击, 3000左右一个月,非连续攻击,可用,单机防,
<50G攻击,1万左右一个月,非连续攻击,可用,双机防,
<100G攻击,2~3万,连续攻击/日,需要用集群防,
<300G攻击,5~8万,连续攻击/日,需要集群,加CDN,学习百度云加速,国外的防护让CF帮着防,国内的找云堤防。
所以,总结一下那些公司是骗人的,你们不白花钱去再测试了。我已经测试过了。时间紧很多点没有写全,写透,今后找个时间再总结分类。
2015年9月
https://www.server110.com/ddos/201701/13194.html
几十万换来的Ddos攻击防护经验分享(转载)相关推荐
- 被骗几十万总结出来的Ddos攻击防护经验!(转载)
被骗几十万总结出来的Ddos攻击防护经验! 技术 站内编辑 2015-09-18 17:37 评论 0 阅读 115159 来源: 爱尖刀 本人从事网络安全行业20年.有15年防ddos攻击防护经验. ...
- 被骗几十万总结出来的Ddos攻击防护经验!------转自 服务器之家server
本人从事网络安全行业20年.有15年防ddos攻击防护经验.被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等. 20 ...
- 被骗几十万总结出来的Ddos攻击防护经验!
本人从事网络安全行业20年.有15年防ddos攻击防护经验.被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等. 20 ...
- 腾讯云DDoS攻击防护指南
1. 什么是DDoS攻击? • DDoS是目前成本较低的一种攻击方式之一.攻击者通过控制大量肉鸡(被黑客入侵控制的终端)同时向目标站点发起访问,目标站点被大量涌入的访问会话占满性能,而无法接收实际正常 ...
- 网站DDOS攻击防护实战老男孩经验心得分享 【转】
文章出处:网站DDOS攻击防护实战老男孩经验心得分享 网站DDOS攻击防护实战老男孩经验心得分享 老男孩由于要培训学生.批改作业,因此最近比较忙,还要经常写书.录视频,搞的思路混乱,受朋友邀请参 ...
- 军备竞赛:DDoS攻击防护体系构建
作者:腾讯安全平台部 lake2 前言 DDoS攻击(Distributed Denial of Service,分布式拒绝服务攻击)的历史可以追溯到1996年(还记得经典的Ping of Death ...
- 《2021 DDoS攻击态势报告》解读 | 基于威胁情报的DDoS攻击防护
随着5G.云计算.大数据.物联网等新兴数字产业的发展,信息基础设施的建设规模也随之扩大,这无疑会导致越来越多的网络资产暴露在互联网上.这些资产一旦被DDoS攻击者所利用,将会对网络安全带来严重威胁.在 ...
- DDoS攻击--防护本质
什么是DDoS ? DDoS全称Distributed Denial of Service,中文意思为"分布式拒绝服务",俗称洪水攻击,就是利用大量合法的分布式服务器对目标发送请求 ...
- DDOS攻击防护DNS篇
DNS request flood 黑客控制僵尸网络向DNS服务器发送大量不存在的域名的解析请求,最终导致服务器因大量DNS请求而超载. 1.TC源认证 ①客户端发送的DNS请求报文长度超过告警阈值, ...
最新文章
- NLP入门之路及学习方法:从任务实践入手!
- 十年SNS社区产品:近乎 V5.0-V5.2安装及问题解决思路
- 台湾印象之四:风流人物
- 多少秒算长镜头_下中国象棋,能算多少步才算高手?
- 35岁中年博士失业,决定给找高校教职的后辈一些建议
- 如何在云上使用confd+ACM管理敏感数据
- SQL SERVER 只有MDF文件的恢复
- boot spring 解析csv_spring-boot-starter-thymeleaf 避坑指南
- 取消对 null 指针“l”的引用。_彻底理解链表中为何使用二级指针或者一级指针的引用...
- ihtml2document能不能根据id获取dom_JavaScript学习笔记(十三)-- DOM(上)
- OpenShift 4.3 - 获得ImageStream中使用的应用镜像离线包
- 关于PPP认证中的PAP和CHAP原理取证与相关疑问
- Oracle财务系统常用标准报表
- directx修复工具win7_魔兽争霸3不能初始化DirectX,怎么解决?说白了就是在游戏安装包下载之后,无法正常运行程序。...
- 程序员 文本编辑器 c语言,程序员必备的五款文本编辑器
- unity3d做会减少的血条_Unity 3D 血条制作
- 百度网盘机器人软件工具自动发货管理文件好友群补发文件资料 (可用于拼多多淘宝闲鱼虚拟店商品自动发货)
- 程序员叫啥名字_程序员是什么职业什么职务?
- 台式电脑自带照片编辑软件将二寸照片改为一寸照片
- 学习指南者STM32F103第一天——LED控制