如果遇到 DDOS,有没有一些低成本的解决方案呢?有些服务并不能用 CDN,因为是长连接
PUBG98k · 2021-03-14 16:05:12 +08:00 · 3430 次点击这是一个创建于 1341 天前的主题,其中的信息可能已经有所发展或是发生改变。
原文:
https://bbs.todesk.com/thread-1011-1-1.html
ToDesk 遭受 DDOS 攻击声明
ToDesk 用户中心服务器于 2021-03-13 21:44 遭受到不法分子的 DDOS 流量攻击, 导致近 200 万用户, 长达 12 小时用户无法正常使用。
我们已联合 UCloud 做报警处理,相关证据已经提交给公安,尽快将不法分子缉拿归案,并不惜一切代价追查到底、揪出幕后黑手。
在此,有趣科技声明以下:
1 、 对此次攻击给各位用户带来的不便,深表歉意。我们将不断升级网络的安全防范措施,为大家提供稳定的使用环境。
2 、 此次攻击为 DDOS 服务器定向攻击,并不是黑客入侵,用户数据无异常。
3 、 有趣科技严厉谴责发动此次有组织、有计划 DDOS 攻击的组织或个人,我们会配合公安部将此事追查到底。同时也警告攻击我们的团伙,
不要为了蝇头小利而成为别人的牺牲品,DDOS 攻击的行为已涉嫌触犯“故意制作、传播计算机病毒等破坏性程序犯罪”、“非法侵入计算机信息系统罪”、
“非法控制计算机信息系统罪”和“破坏计算机信息系统罪”等刑事犯罪,应当承担刑事责任,触犯法律必将受到法律的严厉制裁。
海南有趣科技有限公司 2021-03-14
https://bbs.todesk.com/thread-1011-1-1.html
ToDesk 遭受 DDOS 攻击声明
ToDesk 用户中心服务器于 2021-03-13 21:44 遭受到不法分子的 DDOS 流量攻击, 导致近 200 万用户, 长达 12 小时用户无法正常使用。
我们已联合 UCloud 做报警处理,相关证据已经提交给公安,尽快将不法分子缉拿归案,并不惜一切代价追查到底、揪出幕后黑手。
在此,有趣科技声明以下:
1 、 对此次攻击给各位用户带来的不便,深表歉意。我们将不断升级网络的安全防范措施,为大家提供稳定的使用环境。
2 、 此次攻击为 DDOS 服务器定向攻击,并不是黑客入侵,用户数据无异常。
3 、 有趣科技严厉谴责发动此次有组织、有计划 DDOS 攻击的组织或个人,我们会配合公安部将此事追查到底。同时也警告攻击我们的团伙,
不要为了蝇头小利而成为别人的牺牲品,DDOS 攻击的行为已涉嫌触犯“故意制作、传播计算机病毒等破坏性程序犯罪”、“非法侵入计算机信息系统罪”、
“非法控制计算机信息系统罪”和“破坏计算机信息系统罪”等刑事犯罪,应当承担刑事责任,触犯法律必将受到法律的严厉制裁。
海南有趣科技有限公司 2021-03-14
 |
1
westoy 2021-03-14 16:14:34 +08:00
怂字诀 null IP
|
 |
3
unixeno 2021-03-14 16:21:39 +08:00 via Android
低成本的只有一个,就是拔网线
|
 |
4
djoiwhud 2021-03-14 16:23:17 +08:00 via Android
转发代理,用户分级,遇故障切高防。很简单。
|
|
5
djoiwhud 2021-03-14 16:24:14 +08:00 via Android
这种小儿科攻击都搞不定的公司,估计也做不起来。
|
 |
6
des 2021-03-14 16:24:50 +08:00
低成本好像还真没有
不同类型的攻击有不同的应对方案 |
 |
7
lostberryzz 2021-03-14 16:26:13 +08:00
低成本:关机
|
 |
9
3dwelcome 2021-03-14 16:43:58 +08:00
纯粹的 DDOS 感觉还是有办法的,网关可以筛选真假用户,防一层,有验证后再转发到逻辑处理服务器上。
多封 IP,把几十万嫌疑 IP 都列入黑名单,等到 24 小时候再逐步解冻。 |
 |
10
PUBG98k OP emm.. 机房不给从网关过滤任何 IP,说要钱买昂贵的防火墙就可以.
如果不买防火墙,那流量过来就直接死了.然后直接进黑洞 试过那些 所谓的 高防机房,连通率不够满意. 很多用户直接就连不上.可能是防火墙误杀. @3dwelcome |
|
11
djoiwhud 2021-03-14 18:07:06 +08:00 via Android
用户分级这四个字不理解?按用户风险分级,不同风险的用户分配到不同级别的代理池。请告诉我,他怎么拿到所有级别用户的代理地址。
|
|
12
djoiwhud 2021-03-14 18:11:09 +08:00 via Android
看起来你是这公司的负责人,跑来钓鱼问方案的。。我表示很无语,这种问题是很基本的运维策略。贵公司难道一个合格的工程师都没有?
|
 |
13
tomczhen 2021-03-14 19:34:26 +08:00 via Android
业务价值比流量费用更高再来考虑怎么抗,不然成本最低的办法就是拔网线,
|
|
14
PUBG98k OP  1
@djoiwhud 你好,我是负责人啊.只是讨论讨论,绝大多数的 ddos 解决方案我都知道.
还有,用户分级我能理解你什么意思,请你瞄一眼我们的产品你也不会说出这样的话. 我们 90%的用户都是非注册用户,而且软件的要求就是 双击运行,立刻连接服务器,获取 ID,密码. 不需要等用户进行登录之后,才连接服务器.DDOS 的是 来自好几个不同的国家的 IP. 就算按照用户风险分级,也是要登陆之后吧?? 现在我们被 DDOS 的就是用户登陆的服务器. 麻烦不管看什么帖子都别直接就呛好吗? |
|
15
PUBG98k OP 我也表示很无语
|
 |
16
huyi23 2021-03-14 22:43:51 +08:00
直接屏蔽国外 ip 就行了,dns 上搞下就行了
|
 |
17
mooyo 2021-03-14 23:37:13 +08:00 via iPhone
做不到,除了加钱。在某些地域加钱也做不到防 d
|
|
18
mooyo 2021-03-14 23:37:48 +08:00 via iPhone
特别是国外地域,你加钱都不一定有服务商给你提供对应的服务。
|
 |
19
swulling 2021-03-14 23:42:42 +08:00 via iPhone
其实做好预案切高防就完了,自己没必要研究这个。
至于说误伤部分用户,请把这种选择叫《服务降级》,总比都不能用强。 |
|
20
PUBG98k OP 1
其实一般的抗 D 就几种方案,
1.Web 类的,上 cdn 2.多弄几个类似 阿里的 SLB 转发(伪群集) 3.攻击 IP 源地区的访客解析到某个特定的 IP 4.硬防 5.被 D 域名自动切高防服务器,然后会误伤用户. 6.让机房直接屏蔽攻击地区的 IP(但是现在的服务商都不愿意这么做,会劝你买他们家硬防) --------------------------------------------------------- 但是以上的方案,感觉都不是特别的完美.所以才发此贴看看有没有哪个大佬有奇思妙想. |
|
21
PUBG98k OP 再补充一个常见的,
机房屏蔽 udp 包. |
|
22
djoiwhud 2021-03-15 02:37:27 +08:00 via Android
@PUBG98k
首先,不是注册用户也可以做分级。我完全不需要看你的产品,何况你又没给我钱,我没任何理由看你的产品。ddos 绝大多数都是同业攻击和勒索求财。这样的事都是外包给别人搞的。有观察者的角色在抓包分析流量的走向和连接的服务器地址。你不能按 ip 或者设备 id 或者是浏览器签名来固定分配到同一个 slb 或者高防节点么?显然可以。 也许,你查了一点点 ddos 的皮毛内容。但是你不清楚 ddos 的行业内幕。你的这个需求真的很简单。 |
|
23
PUBG98k OP 1
@djoiwhud 10 年前我就对 DDOS 非常熟悉了好吗?不知道是你皮毛还是我皮毛
有必要杠吗? 我用了近 10 个不同地区的节点做析转发.全死了.有用吗? 还根据不同的用户 IP,或者设备分配不同的 SLB.你能弄几个?你能藏几个别人分析不出来哦. 随便找几个不同的电脑或者地区的电脑抓下包就全出来了.有意义吗? 要不,200 万用户,每个用户分配一个节点最好了.买 200 万个节点如何?这样绝对死不了. 请你看好标题,再来杠行吗? |
|
24
PUBG98k OP 10 年前我就参与开发过 IIS CC 防护软件,Windows 的防 DDOS 防火墙软件,类似 傲盾防火墙
你真的是喜欢杠.显得自己很 皮毛好吧 我发帖的目的是 看看这里大佬那么多,有没有一些想不到的,奇淫技巧,而不是传统的砸钱. @djoiwhud |
 |
25
LeeReamond 2021-03-15 03:35:58 +08:00 1
用户量 200 万很大规模的服务了,50gps 的 ddos 流量也很大,楼上说很简单的也不知道是什么大佬,放个自己产品给大家欣赏欣赏吧
|
|
26
PUBG98k OP 1
|
 |
27
msg7086 2021-03-15 05:31:50 +08:00 via Android
要是 DDoS 能低成本解决,那人家还 d 你干啥。
不就是因为低成本难解决所以才用这种办法打你么? |
 |
28
loukky 2021-03-15 05:33:56 +08:00 via Android
todesk 这么好像还免费的工具,还被 DDoS 有些人真是畜生
|
 |
29
blueboyggh 2021-03-15 05:39:27 +08:00 via Android
@loukky 越是这样的产品,越容易被一些传统垄断厂商盯上,毕竟抢了市场,一个用户就是一笔钱啊
|
 |
30
MakeItGreat 2021-03-15 07:50:01 +08:00 via Android
我怀疑这个攻击和在这个节点打广告的那位有关系
|
 |
32
fiypig 2021-03-15 08:12:26 +08:00
能被 ddos 的产品, 应该是还不错的产品了吧, 这样的话还考虑低成本?
|
 |
33
CallMeReznov 2021-03-15 08:35:27 +08:00
没有,只能硬抗.
|
|
34
djoiwhud 2021-03-15 09:22:37 +08:00 via Android
既然你说自己是在 ddos 领域很专业的,那你发帖的目的何在,炫耀自己的专业性?
部分用户服务降级不是很常见的折中么。例如把用户分 10 类,还可以按接口访问规律细化出疑似观察哨,观察哨一般不会提交真实的数据,就算不做细分处理攻击观察者所影响的用户群体也只是 1/10 。 这需要你每个人分一个代理节点不?我只看到我说的很常见的处理策略,你自己在杠。 |
 |
35
ch2 2021-03-15 12:01:31 +08:00
每个防御方法,对方都有低成本进攻的应对措施
|
 |
36
dqzcwxb 2021-03-15 12:13:59 +08:00
请求时鉴权,请求后拉黑
todesk 貌似都做不到,那只能怂或者硬刚了 |
 |
37
sggggy 2021-03-15 12:33:56 +08:00 3
看了下 lz 的方案,意思是想实现在不堆资源这种“传统模式”下实现 DDos 防御,以及自己对 DDos 防御的方案有深刻的了解。
我建议是从攻击者的角度去思考如何有效率的跨越上述方案。攻击之前先做功课,探源站 IP,探盾,博弈,看对方的高防是买个乞丐版,还是保底,还是氪金拉满。如果保底,保底防御带宽多少,只要压过了,对方就会崩,不要过量,以此类推。 思考攻击者的目的是什么,收了钱来给别人消灾,还是有发送邮件勒索,多少都是有目的性的。 自身经验,游戏行业被打 10 年,对原理没什么深刻理解也不是很想去深究,但一年至少被揍 2 次,有时候是野路子吃饱没事干,就是想搞你,大部分情况是一个什么 ACCN 的黑客组织,每年打一下,年底还要威胁续保护费,不然明年继续打。 我厂人少,也不是很想花时间在和黑客博弈上面,采取的思路也比较简单——无论如何都不能让业务受到影响,不谈判: 1. 过滤掉 CDN,其他所有业务必然是套着盾才能上线,真实 IP 不能暴露。 2. CNAME 解析,可以直接看到返回域名是类似 aliyunddos 什么的,明确告知攻击尝试者,我们有做加固,想攻击的话,需要评估攻击成本和收益。 3. 自己浅显的理解是,应对分布式攻击需要有分布式防御方案,阿里的有是有,就是太贵了,所以现在还是用传统高防。 没啥技术含量,但好用,玩家不掉线,业务不中断,价格小贵,但比起损失来说,不值一提。 |
 |
38
fangpeishi 2021-03-15 12:43:52 +08:00
1.峰值 50g,不算大。用 aws cn 的 basic shield 做代理免费抗一下 3 层 /4 层。
2.阿里云全站加速,有 IP 加速服务,不知道是否适合楼主的业务。 3. 长远一点,客户端埋一个 websocket 代理,紧急情况降级到 cdn 走 websocket 。 |
 |
39
lupus721 2021-03-15 12:57:01 +08:00
ddos 是很深的坑,各种问题,不同应对策略,最简单的,买阿里腾讯的高防 ip,基本收费都不便宜,按照用量算。好像几百 G 的都是没问题的,就是费用好像也惊人。
自己做过一个服务器,最简单的 iptable 连接数过多的直接 ban,最后触发了 iptable 的上线,6w 多条吧。。。后来换了策略,好像是 ip 掩码往大的调了,让条目数变少。后来感觉防御住了,但是对方小包峰值 28wpps,机房不干了,直接给我下线了。 严重的攻击感觉还是要靠专业的团队去处理一部分,当然自己设计的时候也尽量避免问题。综合性问题很难有简单的处理方案。 |
|
40
PUBG98k OP 其实,也是想到了,花钱上高防等切换策略.
但是确实觉得,有点小贵~因为一年到头也 D 不了几次. 但是长期付费保护,太亏 |
|
41
LeeReamond 2021-03-15 23:55:20 +08:00
@sggggy 大佬你好,“1. 过滤掉 CDN,其他所有业务必然是套着盾才能上线,真实 IP 不能暴露。”这句话应该怎么理解,CND 不是本身就是对真实 IP 的保护么
|
|
42
sggggy 2021-03-16 09:18:26 +08:00
@LeeReamond 不是大佬,就是被打的多了,委屈受多了,皮厚起来。
动态 CDN 或者全站加速都可以隐藏真实 IP 。 静态 CDN 一般是不会有人攻击的,除非遇到头铁的真的要打;动态 CDN 或全站加速这些产品,默认不抗 D,要氪金才能开启抗 D 功能,在没开启的情况下被 D 了,会被云厂商黑洞掉。 如果业务都在云上的话,一般我建议使用 DDos 和 CDN 的联动功能,没被攻击时不穿马甲,暴露的是 CDN 的 IP,遭受攻击了,自动切换到 DDos 上。《——实战情况是,我厂目前比较怂,基本都套着马甲不脱。 |
Select Language