1
proxytoworld 2023-05-24 09:46:02 +08:00
这种都是 cc ,能识别是那个域名的
|
2
dzdh OP @proxytoworld 因此,cdn 厂商能扣费,就必定是 CC ,如果 CDN 厂商说,你被 DDoS 了流量太大,所以扣了你几十万哦~ 那就是糊弄鬼呗
|
3
proxytoworld 2023-05-24 10:23:44 +08:00
@dzdh cc 是 ddos 的一种
|
4
elioti 2023-05-24 10:38:37 +08:00
cc 也是域名解析到了 cdn 节点的 ip, 最重要的是节点 ip 如何跟用户关联的
保证客户的域名解析出的 ip 不同,无论一个还是多个,每个客户的 ip 不一致。这样就能根据 ddos 的 ip 匹配到客户 |
5
whileFalse 2023-05-24 10:43:48 +08:00
http/https 请求也可以 ddos 啊你们在说些什么
|
6
dzdh OP @proxytoworld @elioti @whileFalse
我理解的 cc 攻击 是 http/https 协议大量真实访问只是肉鸡多 而 ddos 我理解的是 OSI3/4 层的 纯流量攻击 比如 syn flood/udp flood/NTP amplification ,使其对方带宽耗尽 当然 cc 也算是 ddos 的一种 字面意思的确包含。 所以问题是,别的不说,就说 syn flood ,通过我的域名,解析到了一个 cdn ,那这个 ip 必然是 cdn 节点的 ip , 对这个 ip 进行 syn flood 攻击,cdn 厂商能识别到客户吗 |
7
whileFalse 2023-05-24 11:06:35 +08:00
@dzdh 你先弄明白 ddos 几个字母分别表示什么吧。
|
8
dzdh OP @whileFalse #7 问题再精简一下。当 cdn 节点 IP 遇到 SYN Flood 攻击,能不能识别是哪个客户正在被攻击
|
9
whileFalse 2023-05-24 11:39:39 +08:00
@dzdh 不能,也打不挂。首先 CDN 都可以防 SYN Flood 的,那玩意儿对资源的硬消耗不大。其次如过真把节点压出毛病了 CDN 厂商直接把这个节点下线就完了。
|
10
iqoo 2023-05-24 13:10:38 +08:00
其实国际上并没有 cc 攻击这个名词,只是国内约定俗成的叫法而已。本质上就是 L7/L4 DDOS 。L7 在应用层,自然可拿到 HTTP 头里的 host 字段。
|
11
nightwitch 2023-05-24 13:33:42 +08:00 via Android
你描述的场景相当于直接在打 cdn 的节点。
|
12
ChineseTeacher 2023-05-24 13:39:51 +08:00 1
我换个角度重问一下 lz 这个问题:如果我的一个网站被 ddos ,那么阿里云可以直接给我的 IP 黑洞,我的服务就没法用了。但是如果我用了 CDN 的话,既然 CDN 都是多个网站共用同一个 IP ,那阿里云是不是就没法得知具体是他的哪个客户给它惹了麻烦,来把那个客户给踢出去,或者要那个客户加购 ddos 防护了呢?那样的话阿里云给 CDN 的 ddos 防护还有什么意义?只要我能防好 cc ,那么套 CDN 岂不可以解决所有 ddos ?
@elioti #4 我知道阿里云 CDN 有沙箱,是专门放被攻击的网站的。所以阿里云有什么机制会自动尝试,挑出来被攻击的网站? @whileFalse |
13
dzdh OP @ChineseTeacher yep
|
14
Exdui 2023-05-24 13:54:16 +08:00
@ChineseTeacher #12 cc 是 ddos 其中一个方式,套 cdn 之后只需要防护好 cc 就可以避免其他 ddos 问题了。
|
15
proxytoworld 2023-05-24 14:01:15 +08:00
@ChineseTeacher 前提是你钱足够多,cdn 流量费不考虑吗,而且 cdn 是在你网站前面的,如果 ddos 流量都给 cdn 吃了也达到了攻击者目的
|
16
dzdh OP @proxytoworld #15 非 L7 的攻击为啥会被扣费
|
17
proxytoworld 2023-05-24 14:58:38 +08:00
@dzdh 给你 cc 攻击不就是 l7 的吗。。
|
18
proxytoworld 2023-05-24 14:59:23 +08:00
攻击者知道你套了 cdn 肯定发起 cc 攻击,如果探测到源站还可以用 syn flood 等
|
19
dzdh OP @proxytoworld #17 所以还是只要不是 L7 CDN 厂商就只能硬扛还没辙 不泄露源站 IP 的前提下。
|
20
proxytoworld 2023-05-24 15:06:56 +08:00
@dzdh 直接 drop 就行了,不用抗
|
21
whileFalse 2023-05-24 15:23:29 +08:00 via iPhone 2
@ChineseTeacher
@dzdh 拿 aws 来说吧。aws cdn 自带的免费保护包括 SYN/UDP Floods 、反射攻击等。这些都没法和特定用户联系起来,所以是免费提供的,叫 shield standard 。 此外还有个付费的 shield advanced ,能抗 HTTP ddos ,而且不只能保护 cdn ,还包括对 alb 和 ip 的保护,当然就是收费的了 |
22
dann73580 2023-05-24 17:51:07 +08:00
其实你看 cf 就知道了,如果是 l4 的攻击,通过任播负载分流掉,不构成什么问题。当然单点还是有可能压炸了。如果是 l7 的攻击,不但知道,你还可以写规则让 cf 拦呢。
|
23
nrtEBH 2023-05-24 19:21:06 +08:00
没人傻到拿 4 层流量去打 cdn 后面的站点 知道 CF 全球总带宽储备有多大吗
|
24
louisxxx 2023-05-24 20:53:26 +08:00
用下 CF 和阿里云就知道了。人家系统会自动切换 IP 来阻隔排除是哪个网站被 4 层 DDoS 。
你以为家人傻啊 |
25
idc906 2023-08-10 17:10:50 +08:00 via iPhone
ddos 打的是服务器 ip ,这肯定看不出来的,cc 攻击打的是域名,就是针对性打的,被打会 cpu 超载
|