V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
konakona
V2EX  ›  云计算

在不购买阿里云高仿 ddos 服务的基础下如何优化 ecs 尽可能的减轻 ddos 的攻击效果保证网站运行正常呢?

  •  
  •   konakona · 2016-02-12 00:34:54 +08:00 · 5457 次点击
    这是一个创建于 3190 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是酱紫的,这几天过节估计是竞争对手派来的。
    攻击一台服务器,造成了 10 分钟左右 2G 的攻击量,阿里云发了封邮件,大致意思是:遭到了 DDOS 攻击,一经关闭该主机的任何访问请求 40 分钟。

    40 分钟啊!你主动关闭 40 分钟啊!!!=。= 好在是淡季……

    看了下阿里云的高仿 DDOS 报价: https://help.aliyun.com/knowledge_detail/5975209.html?spm=5176.1538802.4.3.qRmQZy

    16800 元 /月 防范 20g ,真的不是一般企业接受得了的技术成本啊。而且并不是经常有 DDOS ,为防患于未然,想请问下大家以下主机配备大家一般是如何降低 DDOS 的攻击效果以保证网站运行正常的呢?


    CPU : 2 核
    内存: 4096 MB
    操作系统: CentOS 6.3 64 位
    带宽计费方式: 按固定带宽
    当前使用带宽: 带宽: 5Mbps

    apache2.2
    php5.4

    服务器运行 1-2 个站。 CPU 使用率 1 ~ 2%。搭配 rds ,所以本机 mysql 已关闭。

    我打算 14 号上班研究下 iptables 。
    17 条回复    2016-02-15 10:21:20 +08:00
    Septembers
        1
    Septembers  
       2016-02-12 01:38:16 +08:00 via iPad
    DDoS 是一个无解的问题
    jiongjionger
        2
    jiongjionger  
       2016-02-12 01:56:01 +08:00
    流量攻击你研究软件防火墙( iptables )没有任何用。进黑洞后流量直接截断。
    现在 IP 已经暴露。建议换 IP 后使用一些带防御的 CDN 。例如数字的,免费的可以防御 20Gbps 左右。
    em70
        3
    em70  
       2016-02-12 09:33:14 +08:00 via iPhone
    阿里云可以临时升级带宽,比如今晚 20-23 点带宽临时增加 50M ,也就几十元,对方攻击成本比你高,一旦没效果就放弃了
    litianyou
        4
    litianyou  
       2016-02-12 09:55:40 +08:00
    @Septembers +1 ;
    @em70 +1 ;
    不知道你的计费方式可不可以换一下?如果换成按使用流量计费,带宽高一些,会不会 DDOS 的费用比你流量费还要多呢?
    如果公司网站可以静态而且比较小的话,不如搞在 Github 上
    Showfom
        5
    Showfom  
       2016-02-12 11:10:20 +08:00 via iPhone
    其实想说要能 24 小时防御 20G 攻击 这个价格很便宜了
    Yamade
        6
    Yamade  
       2016-02-12 11:28:06 +08:00
    换 cdn 不行么
    konakona
        7
    konakona  
    OP
       2016-02-12 12:08:42 +08:00 via Android
    @jiongjionger 谢谢,我试试。
    CzyAer
        8
    CzyAer  
       2016-02-12 12:15:35 +08:00
    额. 比如 DDOS,
    可以根据目标执行多种攻击方式,
    你有 CDN,我可以通过损耗资源来打打网站,也就是 CC 攻击
    没有 CDN,我可以通过流量来打,流量打不死,我就换包体,
    你可以这样,某一个 IP 每秒超过 5000 包,直接禁掉,通过 iptables
    另外,如果你是备案站的话,你可以上国外高防,加大数字网站卫士,绝对 OK!
    自己在稍微处理一下,一般 DDOS 能抗住!


    http://i11.tietuku.com/c351917095f808e2.png
    http://i11.tietuku.com/b0d286e17c00e55a.png
    http://i11.tietuku.com/8b7d438281c7b391.png
    http://i11.tietuku.com/7314147f71124851.png


    这是我昨晚测试的效果,
    峰值的时候
    每秒打出接近 100gbps 的流量.
    每秒打出 10MPPS 的包数.

    1MPPS=每秒 100W
    rhwood
        9
    rhwood  
       2016-02-12 13:50:39 +08:00
    别做无用功了,重要的事情只有 1 个:
    不要暴露你数据服务器的真实 ip--》已经暴露了就迁移数据--》前面上 cdn--》预算有限可以 varnish/nginx/haproxy 自建--》 cdn 节点选择提供防 ddos 的服务的机房,顶不住就换下一个。
    konakona
        10
    konakona  
    OP
       2016-02-12 14:31:43 +08:00
    @rhwood
    @CzyAer
    感谢 2 位的数据参考和意见。
    我刚发了个工单问了下阿里云,是 500mb ~ 5gb 的流量就会关闭服务器任何请求 20 ~ 120 分钟,不可解除,要加入安全联盟才能获得 10gb 的防护能力。

    所以我在研究买个新的 ip 、弄上阿里云的 cdn 。

    @rhwood 想问下你做测试的时候用的是什么工具,我是 osx 。我自己也想动手试试抗击能力。
    CzyAer
        11
    CzyAer  
       2016-02-12 15:43:46 +08:00 via iPhone
    杭州机房超过 5G 会触发黑洞
    青岛服务器流量超过 5G 会触发黑洞
    北京服务器流量超过 1G 会触发黑洞
    深圳机房流量超过 2G 触发黑洞
    香港机房流量超过 500M 触发黑洞

    部分地区可以 5.2g
    这是我去年夏天实测的 自己每个节点的开了一台机器,然后自己去 ddos 自己的 ip 实际测试出来的.
    mytsing520
        12
    mytsing520  
       2016-02-12 17:52:29 +08:00
    阿里云负载均衡 SLB ,前后端内网转发。。
    静态资源走 CDN 或阿里云 OSS
    了事
    C2Cloud
        13
    C2Cloud  
       2016-02-13 09:12:03 +08:00
    @CzyAer
    @konakona
    1. 100Gbps / 10Mpps 明显 UDP 类型的大包攻击,其实针对这种攻击,运营商级别防护起来很轻松,有带宽和设备就 OK ,有时候甚至不需要专业的流量清洗设备介入即可解决这类型的攻击(Cisco 和 Huawei 的高端 SW 都有报文长度和大小限制来丢弃这类攻击报文)

    2. 超过 100Gbps 的攻击在近目的地清洗都是耍流氓

    3. iptables 还是在系统 Kernel 级别,一个报文要几次 Copy 都不知道,这效率不要被 iptables 拖死已经很好了,有种东西叫做 User Space I/O

    4. CDN 这类防护缺点很多,尤其是国内的 CDN 防护,弱点太多,从 DNS 到 Bypass CDN 都可以轻松的干掉被保护的源

    5. 建议楼主使用专业的 MssP 级别的安全服务提供商
    bobopu
        14
    bobopu  
       2016-02-13 13:12:51 +08:00 via iPhone
    加入阿里云安全联盟,可提升至 7 到 10G
    inter
        15
    inter  
       2016-02-14 17:29:51 +08:00
    @CzyAer 是 udp 包超了就黑洞?不管端口开不开?
    hack520
        16
    hack520  
       2016-02-15 00:03:33 +08:00
    樓主準備足夠票子吧..
    honeypot
        17
    honeypot  
       2016-02-15 10:21:20 +08:00
    建议上 CDN ,如果攻击流量比较小,那么可以扛住,但是可能对部分地区的用户造成影响。
    如果想有比较好的防攻击体验,建议购买高防。购买高防会更换 ECS 的 IP ,把真实 IP 隐藏起来,对外只有高防 IP 可见,这样效果最好。

    目前阿里云 ECS 服务器被攻击流量触发黑洞的机制如下:
    杭州机房超过 5G 会触发黑洞
    青岛服务器流量超过 5G 会触发黑洞
    北京服务器流量超过 2G 会触发黑洞
    深圳机房流量超过 2G 触发黑洞
    香港机房流量超过 500M 触发黑洞。

    如果您想要提升服务器的防御量,可以免费加入安全信誉联盟帮您防御一定的攻击。
    加入安全信誉联盟: https://yundun.console.aliyun.com/#/buyService/ddos
    安全信誉联盟介绍: https://help.aliyun.com/knowledge_detail/7602991.html
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3443 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 11:16 · PVG 19:16 · LAX 03:16 · JFK 06:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.