V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sNullp
V2EX  ›  分享发现

什么样的服务是天生抗攻击的?

  •  
  •   sNullp · 2014-10-27 02:57:34 +08:00 · 4283 次点击
    这是一个创建于 3663 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如 email 是, irc 也是。这样的服务的特点是暴露的 server 并不是你个人所有,却可以与你真正部署代码的服务器交互。

    还有哪些呢?
    第 1 条附言  ·  2014-10-27 08:49:33 +08:00
    服务这个名词指的是一种互联网上通讯的方式。强调这个是因为我期待的“答案”是比如 dns, http, irc, ssh这样的词语,而不是具体到http如何抗攻击。我是想做一个rpc通讯接口,对具体是什么服务没要求。
    第 2 条附言  ·  2014-10-27 09:09:01 +08:00
    我没问清楚。仔细一想只要 rpc 服务前面套一个分布式系统的 accelerator 那么都是抗攻击的。
    所以问题是,对于一种单点rpc服务,怎样做使得这个真正提供服务的地址不暴露,并且尽可能廉价。
    68 条回复    2014-10-27 23:24:52 +08:00
    Zhang
        1
    Zhang  
       2014-10-27 07:38:56 +08:00
    gfw
    abelyao
        2
    abelyao  
       2014-10-27 08:05:47 +08:00 via Android
    根据 email 的域名不是可以查出 a / cname / mx 这些记录吗?不就可以直接攻击服务器了?
    sNullp
        3
    sNullp  
    OP
       2014-10-27 08:12:06 +08:00 via iPhone
    @abelyao 可以使用google apps 免费托管email服务呀
    sNullp
        4
    sNullp  
    OP
       2014-10-27 08:12:40 +08:00 via iPhone
    @abelyao 甚至直接注册gmail。。现在很多人email服务是搭建在自己的服务器上的?
    vibbow
        5
    vibbow  
       2014-10-27 08:24:37 +08:00
    @sNullp 所以你的意思说只是因为Google服务器多,一般人攻击不倒,所以就是天生抗攻击的?
    sNullp
        6
    sNullp  
    OP
       2014-10-27 08:25:50 +08:00
    @vibbow 所谓抗攻击,不就是服务器打不倒么?
    vibbow
        7
    vibbow  
       2014-10-27 08:26:41 +08:00
    @sNullp 那你直接去翻Alexa Top 500吧。
    基本上都满足你的问题。
    sNullp
        8
    sNullp  
    OP
       2014-10-27 08:28:15 +08:00
    @vibbow op问的是怎样将自己的服务部署在这样的架构上。或者什么样的形式可以利用这些打不倒的服务器。
    从这个思路出发 aws 当然算,我还想知道别的。
    vibbow
        9
    vibbow  
       2014-10-27 08:29:29 +08:00
    @sNullp 按照你问的方法,答案就是堆服务器啊...
    服务器分布在全球,数量越多越好,速度越快越好。
    vibbow
        10
    vibbow  
       2014-10-27 08:30:51 +08:00
    比如说抗DDNS攻击,那就是堆服务器宽带,只要你的宽带比攻击者的宽带大,那你就赢了(反之亦然)
    sNullp
        11
    sNullp  
    OP
       2014-10-27 08:30:59 +08:00
    @vibbow 我问的是什么样的服务,而不是具体对于一个服务的解决方案。比如 http 服务就不是一个天生抗攻击的服务,irc 显然就是。
    sNullp
        12
    sNullp  
    OP
       2014-10-27 08:31:28 +08:00
    @vibbow 对,你说的对,但是没有回答 op 的问题。
    vibbow
        13
    vibbow  
       2014-10-27 08:32:16 +08:00
    @sNullp 任何服务在DDNS面前都是不堪一击的。
    对付DDNS攻击,只有堆宽带,堆服务器性能。
    sNullp
        14
    sNullp  
    OP
       2014-10-27 08:35:17 +08:00
    @vibbow 不你没懂我的意思。
    我的意思是,什么样的服务能利用业界巨头的大宽带,而不是自己购买的机器的小水管。
    比如我想写博客,那么托管在github或者blogger上就比我自己买vps抗攻击,注意“抗攻击”在这里的用法。
    然后现在的问题是怎样形式的服务是抗攻击的,我就是想知道除了 irc 和 email 之外还有没有一些稳健的基础架构可以利用。
    vibbow
        15
    vibbow  
       2014-10-27 08:37:35 +08:00
    @sNullp 除了P2P,任何C/S类的服务都是不抗攻击的。
    所谓的抗攻击都是用硬件性能/宽带硬抗而已。

    我也不知道你所谓的IRC和Email抗攻击的结论是从何得出的。
    sNullp
        16
    sNullp  
    OP
       2014-10-27 08:41:19 +08:00
    @vibbow 我很明白你的意思,我也很明白你没懂我的意思可是你就是不愿意认真看我说的话。
    你所谓“抗攻击”和我“抗攻击”的定义不一样,阅读下我打的字好不好?

    或者换个描述就是同样的投入,被ddos打倒的难度越高,就是越“抗攻击”。在这里问的就是一份普通vps的投入,换来个人用户打不倒的带宽。

    以及,你确定我们俩说的irc是一个irc?
    66450146
        17
    66450146  
       2014-10-27 08:41:35 +08:00
    巨头提供的托管服务就是抗攻击的

    但是它们也不是“天然”的抗攻击,而是这些巨头们耗费了巨大的资源,才让它成为一个难以攻击的服务

    所以结论就是:巨头提供的托管服务是抗攻击的。

    这个结论其实没多大价值……比如说你想写博客,托管到 AWS 上面,不就抗攻击了吗……
    vibbow
        18
    vibbow  
       2014-10-27 08:44:30 +08:00
    @sNullp 所以你的意思就是说如何使用较小的花费,来使用巨头们的海量的硬件资源和宽带资源?
    那答案不是很明显了么?
    上 AWS / Azure / Akamai 啊
    sNullp
        19
    sNullp  
    OP
       2014-10-27 08:45:44 +08:00
    @66450146 对,我问的就是什么样的服务能利用到巨头提供的架构?结论还是很有价值的,特别是我只需要一个稳定的rpc接口,对性能和展现形式没有要求。
    sNullp
        20
    sNullp  
    OP
       2014-10-27 08:46:10 +08:00
    @vibbow 你还是没看懂我的问题。我根本就不是在问http。
    windywinter
        21
    windywinter  
       2014-10-27 08:47:40 +08:00
    @sNullp http可以用CDN,DNS服务也是“抗攻击”的。
    vibbow
        22
    vibbow  
       2014-10-27 08:47:42 +08:00
    @sNullp 我的回答也不是针对HTTP的啊
    vibbow
        23
    vibbow  
       2014-10-27 08:48:33 +08:00
    @sNullp 难不成你以为只有HTTP服务才会有DDOS之类的困扰?
    DDOS是可以针对整个服务器的,而不是针对具体应用的。
    66450146
        24
    66450146  
       2014-10-27 08:48:52 +08:00
    @sNullp 如果不知道要怎么做的话,部署到 AWS 上就是了……

    攻击来的时候还是会有很大开销,但是总比自建强多了……
    vibbow
        25
    vibbow  
       2014-10-27 08:49:16 +08:00
    @sNullp 哪怕你服务器上什么应用都不运行,只要联网了,都可以被DDOS。
    happywowwow
        26
    happywowwow  
       2014-10-27 08:50:34 +08:00
    不开机的服务器
    rrfeng
        27
    rrfeng  
       2014-10-27 08:50:41 +08:00
    irc email 抗攻击?
    http 不行?

    如何得出的这个结论?
    sNullp
        28
    sNullp  
    OP
       2014-10-27 08:52:05 +08:00
    @vibbow akamai不是针对http?
    我当然知道DDoS是什么。你问的就是什么服务能让自己的机器藏到巨头的机器后面不直接暴露给用户。从而外界根本不知道我真正服务器的地址是什么。
    vibbow
        29
    vibbow  
       2014-10-27 08:53:22 +08:00
    @sNullp Akamai当然不仅仅只有静态文件CDN服务了....
    sNullp
        30
    sNullp  
    OP
       2014-10-27 08:53:59 +08:00
    @rrfeng 这是个笼统的表达,简单的说因为email和irc都是distributed system,所以系统的HA本身就高。
    然后http在不借助CDN之类的服务的话本身是一个single point existence,很容易打挂。

    我承认我说http不行是不准确的。不过我还是想知道别的服务名而不是讨论http如何抗攻击。
    sNullp
        31
    sNullp  
    OP
       2014-10-27 08:55:44 +08:00
    @vibbow 但是我想问的是别的服务名。服务在这里指的是一种通讯方式(再举几个例子比如ssh,telnet)。所以你说azure,akamai,嗯,我懂你意思,但我想知道的不是这个。
    vibbow
        32
    vibbow  
       2014-10-27 08:55:51 +08:00
    @sNullp email协议本身也是c/s架构的,http协议本身也是c/s架构的
    email可以做成单节点,也可以做成分布式系统
    http可以做成单节点,也可以做成分布式系统

    所以请问你如何得出Email服务抗攻击而HTTP服务不抗攻击的?
    vibbow
        33
    vibbow  
       2014-10-27 08:56:37 +08:00
    @sNullp ssh telnet 也可以用 akamai 的服务的啊
    sNullp
        34
    sNullp  
    OP
       2014-10-27 08:57:09 +08:00
    @vibbow 我错了,这里是我表达不清。
    对我不能说http不抗攻击。

    那么修正一下问题是什么样的服务能廉价的利用现有稳定的分布式系统?我已经知道http,email了。我还想知道别的可能性。
    sNullp
        36
    sNullp  
    OP
       2014-10-27 09:02:22 +08:00
    @vibbow ok,感谢科普akamai。不过呢。。。。大概是我语文太差了吧,说东西说不清楚。这其实还不是我想知道的。我得想想怎么给你说清楚。
    MC
        37
    MC  
       2014-10-27 09:03:53 +08:00
    跑去地下室,手机运营商变成“无服务”的时候,就抗攻击了
    sNullp
        38
    sNullp  
    OP
       2014-10-27 09:04:54 +08:00
    @MC 这样都不能称之为“服务”了
    abelyao
        39
    abelyao  
       2014-10-27 09:05:28 +08:00
    @sNullp 阿里云,SAE,这一类的随便放个网站,都带是分布式部署了,而且“天生”拥有比较好的防火墙,抵挡一定的攻击是没问题的
    sNullp
        40
    sNullp  
    OP
       2014-10-27 09:06:49 +08:00
    @vibbow 想想看akamai如果可以做到像硬防一样挡在我自己的rpc端口前的话,这个架构也不错。
    嗯。。那问题就变成了怎样比较廉价呢?题目中列的 email 和 irc 几乎都是零成本。akamai这个ip layer accelation很贵啊。
    rrfeng
        41
    rrfeng  
       2014-10-27 09:06:59 +08:00
    @sNullp

    email irc 是分布式?http 是单点?
    lz 总是做些奇怪的结论啊。
    sNullp
        42
    sNullp  
    OP
       2014-10-27 09:07:14 +08:00
    @abelyao 是,没错,我修改下问题。
    vibbow
        43
    vibbow  
       2014-10-27 09:07:31 +08:00
    所以LZ你的问题是什么样的protocol是抗攻击的?
    答案请参阅15楼
    解决方案请参阅18楼
    sNullp
        44
    sNullp  
    OP
       2014-10-27 09:10:01 +08:00
    @vibbow 嗯,那么求推荐廉价策略。
    sNullp
        45
    sNullp  
    OP
       2014-10-27 09:11:33 +08:00
    @rrfeng 哎,我的意思只是想说分布式的比单点的稳定。。
    http当然也可以是分布式的,所以我已经意识到我举http位反面例子是错误的。这个bug已经在op里修正了。
    vibbow
        46
    vibbow  
       2014-10-27 09:12:11 +08:00
    @sNullp 堆服务器,堆宽带
    那就是看谁家便宜,并且满足需求,那就用谁家的了呗......
    zxp
        47
    zxp  
       2014-10-27 09:13:32 +08:00
    不提供任何服务的服务就是天生抗攻击的。

    这样的服务还真有,unix在发展初期就提供了这样的服务,不如echo、discard,这些服务一般通过inetd启动,侦听tcp、udp端口7和9,前者直接返回你发给服务器的任何信息,后者直接丢弃所有信息。

    健壮性自不必说了。
    sNullp
        48
    sNullp  
    OP
       2014-10-27 09:14:15 +08:00
    @vibbow AWS / Azure / Akamai 还是贵了。我用irc的话几乎是免费的。还有什么类似这种免费的服务(用你的话说protocol,虽然好像有细微的差别)?
    vibbow
        49
    vibbow  
       2014-10-27 09:14:42 +08:00
    @zxp 于是就可以DDOS攻击了......
    sNullp
        50
    sNullp  
    OP
       2014-10-27 09:15:50 +08:00
    @zxp echo服务还是会被 DDoS 的,无论什么服务一定不能让保存数据的服务器直接暴露给用户。
    vibbow
        51
    vibbow  
       2014-10-27 09:17:07 +08:00   ❤️ 1
    sNullp
        52
    sNullp  
    OP
       2014-10-27 09:17:52 +08:00
    @vibbow 这个赞!
    vibbow
        53
    vibbow  
       2014-10-27 09:21:22 +08:00
    @sNullp 所以答案还是回到了18楼......
    sNullp
        54
    sNullp  
    OP
       2014-10-27 09:22:41 +08:00
    @vibbow 嗯。在意识到你不是再说http以后反过来想其实也都是这个思路了。我去按端口号一个个查什么服务能廉价的使用巨头的基础架构吧。
    millken
        55
    millken  
       2014-10-27 09:35:28 +08:00   ❤️ 1
    流量清洗服务,国外很多提供的(别问我地址)。
    原理其实就是一个tcp代理,将过滤攻击后的tcp请求转发到你的源。你要做的就是给它源IP,然后DNS解析到它给的IP上。

    我以前用过一家,效果不算好,并且速度慢得一塌糊涂。

    @vibbow
    AWS / Azure / Akamai,它们是云服务提供商,只抗少量攻击,基本也是一D就死。
    Google 云也不抗。这么说吧,所有的云都不会免费帮你抗。

    Akamai收购的Prolexic能抗很大攻击(450G),但是Money也是大大滴。
    vibbow
        56
    vibbow  
       2014-10-27 09:55:19 +08:00
    @millken Azure的话肯定是开个百八十台的,前面再垒几个load balancer 啊...
    hyraxer
        57
    hyraxer  
       2014-10-27 12:12:08 +08:00   ❤️ 1
    理解楼主的意思, email系统的单个账号可以做应用同时因庞大系统庇护而免遭攻击.

    类似的还有tor网络搭建的slik road.这样的网站,隐秘了服务器ip,需要通过tor专用网络才可以访问.

    攻击类型其实有2类, 1 是物理形式的流量过载,如DDOS 2是虚拟的信息过载 如垃圾信息.

    其实都可以用同一种方法解决 砸钱.
    hyraxer
        58
    hyraxer  
       2014-10-27 12:16:11 +08:00   ❤️ 1
    顺道说一下 更特别的防攻击方式, 是类似bitcoin的 blockchain,
    一个全网P2P同步维护一段数据免遭恶意篡改, 依靠分布不可信任的第三方节点
    反而塑造了可信任的同步网络, 依靠算力分布来 防51%攻击.
    hljjhb
        59
    hljjhb  
       2014-10-27 12:23:13 +08:00
    对外服务还有天生抗攻击的?第一次听说
    binux
        60
    binux  
       2014-10-27 12:25:52 +08:00   ❤️ 2
    服务器每分钟去问客户,是否需要服务,要就把数据发给它。不接受请求
    Showfom
        61
    Showfom  
       2014-10-27 13:06:17 +08:00
    当面说,找个没人的地方,躲避任何监控,应该就安全多了。。。
    wwek
        62
    wwek  
       2014-10-27 14:24:12 +08:00
    只要依托互联网的目前都不扛攻击。所谓的抗攻击也是带宽大,清洗得力嘛
    Vindia
        63
    Vindia  
       2014-10-27 15:15:40 +08:00
    拒绝服务天生抗攻击
    ╮(╯▽╰)╭
    kawaiiushio
        64
    kawaiiushio  
       2014-10-27 15:27:19 +08:00
    TOR
    treo
        65
    treo  
       2014-10-27 15:51:44 +08:00
    TG的服务
    nilai
        66
    nilai  
       2014-10-27 16:51:43 +08:00
    断网
    yfdyh000
        67
    yfdyh000  
       2014-10-27 17:01:59 +08:00
    分布式,多点集群,云计算(SaaS、PaaS、IaaS)。不知道楼主想要哪个答案。
    O21
        68
    O21  
       2014-10-27 23:24:52 +08:00
    127.0.0.1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5770 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 51ms · UTC 02:54 · PVG 10:54 · LAX 18:54 · JFK 21:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.