V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
PUBG98k
V2EX  ›  问与答

如果遇到 DDOS,有没有一些低成本的解决方案呢?有些服务并不能用 CDN,因为是长连接

  •  
  •   PUBG98k · 2021-03-14 16:05:12 +08:00 · 3430 次点击
    这是一个创建于 1341 天前的主题,其中的信息可能已经有所发展或是发生改变。
    原文:
    https://bbs.todesk.com/thread-1011-1-1.html

    ToDesk 遭受 DDOS 攻击声明

    ToDesk 用户中心服务器于 2021-03-13 21:44 遭受到不法分子的 DDOS 流量攻击, 导致近 200 万用户, 长达 12 小时用户无法正常使用。
    我们已联合 UCloud 做报警处理,相关证据已经提交给公安,尽快将不法分子缉拿归案,并不惜一切代价追查到底、揪出幕后黑手。

    在此,有趣科技声明以下:

    1 、 对此次攻击给各位用户带来的不便,深表歉意。我们将不断升级网络的安全防范措施,为大家提供稳定的使用环境。
    2 、 此次攻击为 DDOS 服务器定向攻击,并不是黑客入侵,用户数据无异常。
    3 、 有趣科技严厉谴责发动此次有组织、有计划 DDOS 攻击的组织或个人,我们会配合公安部将此事追查到底。同时也警告攻击我们的团伙,
    不要为了蝇头小利而成为别人的牺牲品,DDOS 攻击的行为已涉嫌触犯“故意制作、传播计算机病毒等破坏性程序犯罪”、“非法侵入计算机信息系统罪”、
    “非法控制计算机信息系统罪”和“破坏计算机信息系统罪”等刑事犯罪,应当承担刑事责任,触犯法律必将受到法律的严厉制裁。

    海南有趣科技有限公司 2021-03-14
    42 条回复    2021-03-16 09:18:26 +08:00
    westoy
        1
    westoy  
       2021-03-14 16:14:34 +08:00
    怂字诀 null IP
    PUBG98k
        2
    PUBG98k  
    OP
       2021-03-14 16:17:22 +08:00
    @westoy 这..用户无法正常了呀.最主要还是如何恢复业务
    unixeno
        3
    unixeno  
       2021-03-14 16:21:39 +08:00 via Android
    低成本的只有一个,就是拔网线
    djoiwhud
        4
    djoiwhud  
       2021-03-14 16:23:17 +08:00 via Android
    转发代理,用户分级,遇故障切高防。很简单。
    djoiwhud
        5
    djoiwhud  
       2021-03-14 16:24:14 +08:00 via Android
    这种小儿科攻击都搞不定的公司,估计也做不起来。
    des
        6
    des  
       2021-03-14 16:24:50 +08:00
    低成本好像还真没有
    不同类型的攻击有不同的应对方案
    lostberryzz
        7
    lostberryzz  
       2021-03-14 16:26:13 +08:00
    低成本:关机
    PUBG98k
        8
    PUBG98k  
    OP
       2021-03-14 16:26:50 +08:00
    @djoiwhud 50g/s 轮训打所有的 IP.进黑洞.
    3dwelcome
        9
    3dwelcome  
       2021-03-14 16:43:58 +08:00
    纯粹的 DDOS 感觉还是有办法的,网关可以筛选真假用户,防一层,有验证后再转发到逻辑处理服务器上。
    多封 IP,把几十万嫌疑 IP 都列入黑名单,等到 24 小时候再逐步解冻。
    PUBG98k
        10
    PUBG98k  
    OP
       2021-03-14 16:58:17 +08:00
    emm.. 机房不给从网关过滤任何 IP,说要钱买昂贵的防火墙就可以.
    如果不买防火墙,那流量过来就直接死了.然后直接进黑洞
    试过那些 所谓的 高防机房,连通率不够满意.
    很多用户直接就连不上.可能是防火墙误杀.
    @3dwelcome
    djoiwhud
        11
    djoiwhud  
       2021-03-14 18:07:06 +08:00 via Android
    用户分级这四个字不理解?按用户风险分级,不同风险的用户分配到不同级别的代理池。请告诉我,他怎么拿到所有级别用户的代理地址。
    djoiwhud
        12
    djoiwhud  
       2021-03-14 18:11:09 +08:00 via Android
    看起来你是这公司的负责人,跑来钓鱼问方案的。。我表示很无语,这种问题是很基本的运维策略。贵公司难道一个合格的工程师都没有?
    tomczhen
        13
    tomczhen  
       2021-03-14 19:34:26 +08:00 via Android
    业务价值比流量费用更高再来考虑怎么抗,不然成本最低的办法就是拔网线,
    PUBG98k
        14
    PUBG98k  
    OP
       2021-03-14 21:45:52 +08:00   ❤️ 1
    @djoiwhud 你好,我是负责人啊.只是讨论讨论,绝大多数的 ddos 解决方案我都知道.

    还有,用户分级我能理解你什么意思,请你瞄一眼我们的产品你也不会说出这样的话.
    我们 90%的用户都是非注册用户,而且软件的要求就是 双击运行,立刻连接服务器,获取 ID,密码.
    不需要等用户进行登录之后,才连接服务器.DDOS 的是 来自好几个不同的国家的 IP.
    就算按照用户风险分级,也是要登陆之后吧??
    现在我们被 DDOS 的就是用户登陆的服务器.
    麻烦不管看什么帖子都别直接就呛好吗?
    PUBG98k
        15
    PUBG98k  
    OP
       2021-03-14 21:46:17 +08:00
    我也表示很无语
    huyi23
        16
    huyi23  
       2021-03-14 22:43:51 +08:00
    直接屏蔽国外 ip 就行了,dns 上搞下就行了
    mooyo
        17
    mooyo  
       2021-03-14 23:37:13 +08:00 via iPhone
    做不到,除了加钱。在某些地域加钱也做不到防 d
    mooyo
        18
    mooyo  
       2021-03-14 23:37:48 +08:00 via iPhone
    特别是国外地域,你加钱都不一定有服务商给你提供对应的服务。
    swulling
        19
    swulling  
       2021-03-14 23:42:42 +08:00 via iPhone
    其实做好预案切高防就完了,自己没必要研究这个。

    至于说误伤部分用户,请把这种选择叫《服务降级》,总比都不能用强。
    PUBG98k
        20
    PUBG98k  
    OP
       2021-03-15 01:34:13 +08:00   ❤️ 1
    其实一般的抗 D 就几种方案,
    1.Web 类的,上 cdn
    2.多弄几个类似 阿里的 SLB 转发(伪群集)
    3.攻击 IP 源地区的访客解析到某个特定的 IP
    4.硬防
    5.被 D 域名自动切高防服务器,然后会误伤用户.
    6.让机房直接屏蔽攻击地区的 IP(但是现在的服务商都不愿意这么做,会劝你买他们家硬防)
    ---------------------------------------------------------
    但是以上的方案,感觉都不是特别的完美.所以才发此贴看看有没有哪个大佬有奇思妙想.
    PUBG98k
        21
    PUBG98k  
    OP
       2021-03-15 01:36:03 +08:00
    再补充一个常见的,
    机房屏蔽 udp 包.
    djoiwhud
        22
    djoiwhud  
       2021-03-15 02:37:27 +08:00 via Android
    @PUBG98k
    首先,不是注册用户也可以做分级。我完全不需要看你的产品,何况你又没给我钱,我没任何理由看你的产品。ddos 绝大多数都是同业攻击和勒索求财。这样的事都是外包给别人搞的。有观察者的角色在抓包分析流量的走向和连接的服务器地址。你不能按 ip 或者设备 id 或者是浏览器签名来固定分配到同一个 slb 或者高防节点么?显然可以。

    也许,你查了一点点 ddos 的皮毛内容。但是你不清楚 ddos 的行业内幕。你的这个需求真的很简单。
    PUBG98k
        23
    PUBG98k  
    OP
       2021-03-15 03:05:08 +08:00   ❤️ 1
    @djoiwhud 10 年前我就对 DDOS 非常熟悉了好吗?不知道是你皮毛还是我皮毛
    有必要杠吗?
    我用了近 10 个不同地区的节点做析转发.全死了.有用吗?
    还根据不同的用户 IP,或者设备分配不同的 SLB.你能弄几个?你能藏几个别人分析不出来哦.
    随便找几个不同的电脑或者地区的电脑抓下包就全出来了.有意义吗?
    要不,200 万用户,每个用户分配一个节点最好了.买 200 万个节点如何?这样绝对死不了.
    请你看好标题,再来杠行吗?
    PUBG98k
        24
    PUBG98k  
    OP
       2021-03-15 03:13:31 +08:00
    10 年前我就参与开发过 IIS CC 防护软件,Windows 的防 DDOS 防火墙软件,类似 傲盾防火墙
    你真的是喜欢杠.显得自己很 皮毛好吧

    我发帖的目的是 看看这里大佬那么多,有没有一些想不到的,奇淫技巧,而不是传统的砸钱.
    @djoiwhud
    LeeReamond
        25
    LeeReamond  
       2021-03-15 03:35:58 +08:00   ❤️ 1
    用户量 200 万很大规模的服务了,50gps 的 ddos 流量也很大,楼上说很简单的也不知道是什么大佬,放个自己产品给大家欣赏欣赏吧
    PUBG98k
        26
    PUBG98k  
    OP
       2021-03-15 03:39:12 +08:00   ❤️ 1
    其实好好讨论问题是可以的 ,但是一上来,什么也不看就直接喷 问这种问题的公司肯定做不起来.


    @LeeReamond
    实际用户近 800w,实时在线近 200w
    msg7086
        27
    msg7086  
       2021-03-15 05:31:50 +08:00 via Android
    要是 DDoS 能低成本解决,那人家还 d 你干啥。
    不就是因为低成本难解决所以才用这种办法打你么?
    loukky
        28
    loukky  
       2021-03-15 05:33:56 +08:00 via Android
    todesk 这么好像还免费的工具,还被 DDoS 有些人真是畜生
    blueboyggh
        29
    blueboyggh  
       2021-03-15 05:39:27 +08:00 via Android
    @loukky 越是这样的产品,越容易被一些传统垄断厂商盯上,毕竟抢了市场,一个用户就是一笔钱啊
    MakeItGreat
        30
    MakeItGreat  
       2021-03-15 07:50:01 +08:00 via Android
    我怀疑这个攻击和在这个节点打广告的那位有关系
    alfchin
        31
    alfchin  
       2021-03-15 07:56:49 +08:00 via iPhone
    @PUBG98k 再被 ddos 个一周两周看你的用户还剩多少。
    要解决就找团队改架构去吧。
    fiypig
        32
    fiypig  
       2021-03-15 08:12:26 +08:00
    能被 ddos 的产品, 应该是还不错的产品了吧, 这样的话还考虑低成本?
    CallMeReznov
        33
    CallMeReznov  
       2021-03-15 08:35:27 +08:00
    没有,只能硬抗.
    djoiwhud
        34
    djoiwhud  
       2021-03-15 09:22:37 +08:00 via Android
    既然你说自己是在 ddos 领域很专业的,那你发帖的目的何在,炫耀自己的专业性?

    部分用户服务降级不是很常见的折中么。例如把用户分 10 类,还可以按接口访问规律细化出疑似观察哨,观察哨一般不会提交真实的数据,就算不做细分处理攻击观察者所影响的用户群体也只是 1/10 。

    这需要你每个人分一个代理节点不?我只看到我说的很常见的处理策略,你自己在杠。
    ch2
        35
    ch2  
       2021-03-15 12:01:31 +08:00
    每个防御方法,对方都有低成本进攻的应对措施
    dqzcwxb
        36
    dqzcwxb  
       2021-03-15 12:13:59 +08:00
    请求时鉴权,请求后拉黑
    todesk 貌似都做不到,那只能怂或者硬刚了
    sggggy
        37
    sggggy  
       2021-03-15 12:33:56 +08:00   ❤️ 3
    看了下 lz 的方案,意思是想实现在不堆资源这种“传统模式”下实现 DDos 防御,以及自己对 DDos 防御的方案有深刻的了解。

    我建议是从攻击者的角度去思考如何有效率的跨越上述方案。攻击之前先做功课,探源站 IP,探盾,博弈,看对方的高防是买个乞丐版,还是保底,还是氪金拉满。如果保底,保底防御带宽多少,只要压过了,对方就会崩,不要过量,以此类推。

    思考攻击者的目的是什么,收了钱来给别人消灾,还是有发送邮件勒索,多少都是有目的性的。

    自身经验,游戏行业被打 10 年,对原理没什么深刻理解也不是很想去深究,但一年至少被揍 2 次,有时候是野路子吃饱没事干,就是想搞你,大部分情况是一个什么 ACCN 的黑客组织,每年打一下,年底还要威胁续保护费,不然明年继续打。

    我厂人少,也不是很想花时间在和黑客博弈上面,采取的思路也比较简单——无论如何都不能让业务受到影响,不谈判:
    1. 过滤掉 CDN,其他所有业务必然是套着盾才能上线,真实 IP 不能暴露。
    2. CNAME 解析,可以直接看到返回域名是类似 aliyunddos 什么的,明确告知攻击尝试者,我们有做加固,想攻击的话,需要评估攻击成本和收益。
    3. 自己浅显的理解是,应对分布式攻击需要有分布式防御方案,阿里的有是有,就是太贵了,所以现在还是用传统高防。

    没啥技术含量,但好用,玩家不掉线,业务不中断,价格小贵,但比起损失来说,不值一提。
    fangpeishi
        38
    fangpeishi  
       2021-03-15 12:43:52 +08:00
    1.峰值 50g,不算大。用 aws cn 的 basic shield 做代理免费抗一下 3 层 /4 层。
    2.阿里云全站加速,有 IP 加速服务,不知道是否适合楼主的业务。
    3. 长远一点,客户端埋一个 websocket 代理,紧急情况降级到 cdn 走 websocket 。
    lupus721
        39
    lupus721  
       2021-03-15 12:57:01 +08:00
    ddos 是很深的坑,各种问题,不同应对策略,最简单的,买阿里腾讯的高防 ip,基本收费都不便宜,按照用量算。好像几百 G 的都是没问题的,就是费用好像也惊人。

    自己做过一个服务器,最简单的 iptable 连接数过多的直接 ban,最后触发了 iptable 的上线,6w 多条吧。。。后来换了策略,好像是 ip 掩码往大的调了,让条目数变少。后来感觉防御住了,但是对方小包峰值 28wpps,机房不干了,直接给我下线了。

    严重的攻击感觉还是要靠专业的团队去处理一部分,当然自己设计的时候也尽量避免问题。综合性问题很难有简单的处理方案。
    PUBG98k
        40
    PUBG98k  
    OP
       2021-03-15 16:10:09 +08:00
    其实,也是想到了,花钱上高防等切换策略.
    但是确实觉得,有点小贵~因为一年到头也 D 不了几次.
    但是长期付费保护,太亏
    LeeReamond
        41
    LeeReamond  
       2021-03-15 23:55:20 +08:00
    @sggggy 大佬你好,“1. 过滤掉 CDN,其他所有业务必然是套着盾才能上线,真实 IP 不能暴露。”这句话应该怎么理解,CND 不是本身就是对真实 IP 的保护么
    sggggy
        42
    sggggy  
       2021-03-16 09:18:26 +08:00
    @LeeReamond 不是大佬,就是被打的多了,委屈受多了,皮厚起来。

    动态 CDN 或者全站加速都可以隐藏真实 IP 。

    静态 CDN 一般是不会有人攻击的,除非遇到头铁的真的要打;动态 CDN 或全站加速这些产品,默认不抗 D,要氪金才能开启抗 D 功能,在没开启的情况下被 D 了,会被云厂商黑洞掉。

    如果业务都在云上的话,一般我建议使用 DDos 和 CDN 的联动功能,没被攻击时不穿马甲,暴露的是 CDN 的 IP,遭受攻击了,自动切换到 DDos 上。《——实战情况是,我厂目前比较怂,基本都套着马甲不脱。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1038 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:13 · PVG 06:13 · LAX 14:13 · JFK 17:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.