1樓:雲巴巴嚴選雲
當然不是誤解的,但是面對DDoS攻擊,疏比堵更有效!
為什麼這麼說,先來看一下DDoS攻擊的原理,黑客在短時間內採用大量的「肉雞」去訪問同乙個服務,造成併發扛不住而無法為正常的使用者提供服務。這裡的「肉雞」指的就是一些虛假的,非實際使用者的訪問。訪問量並不難造假,而且可以以假亂真,所以面對DDoS攻擊讓很多企業無從下手,堵吧又怕一桿子打死影響了正常使用者的訪問,疏的話又會帶來很大的投入,所以一度成為一種慣用的攻擊手段。
但是對抗DDoS攻擊,確實是需要梳更有效。
基本思路可以有兩種方式,乙個是IP過濾,乙個是增加專門用來承載攻擊的備用主機。也就是說,無論哪種方式,都是全盤接收訪問,因為這樣才能夠不造成正常使用者的無法使用。先全盤接收,然後再進行分流。
IP過濾的方式就是把IP進行標籤化,擁有攻擊嫌疑的一批IP直接分配至備用的主機,也就是提供假服務來將流量引走,保障真實的使用者訪問的是真的服務。一般情況下,遊戲行業和電商行業,在做活動的時候,還是需要預設,雖然會有一些投入,但提前準備確實可以避免很多損失。
2樓:君子如玉
沒有無解的攻擊,矛足夠鋒利可以刺破盾,盾足夠強可以防禦任何矛。這個就是比誰燒錢多。能找到足夠強的防禦才是最重要的。
詳細可以看我專欄其他文章
3樓:靈劍
一般可以租大公司的CDN,讓CDN做一層防禦,原理首先大公司CDN頻寬和防火牆技術的確有優勢,但更重要的是,大公司在國內勢力比較大,追查能力也比較強,攻擊大公司的設施比較容易被抓,所以一般的黑客惹不起
4樓:
對,就是無解的
滋水槍滋你,對你沒什麼影響
換自來水管衝你,你就全身是水了
高壓水槍衝你,那你可就爽了
抗不抗得住,就看你強不強壯
防禦歸根到底就是硬體資源防禦,硬體牛就能抗,不牛就廢ddos本身是燒錢攻擊,燒的是攻擊者的錢
5樓:
前陣子參加了一次Google Clound的workshp,當Google方的負責人被問到怎麼防禦DDoS攻擊的時候,他很淡定地說Google的流量大,至今沒遇到過能打的DDoS攻擊。
6樓:
當然可以你猜猜Google 怕不怕DDOS?
面對厲害的DDOS技巧沒有任何用,只能燒錢量大的人家管你開什麼服務,一起上,一把梭哈,打滿你機房總寬頻,然後機房為求自保聯絡接入商直接把所有發給你的包在主幹網上都丟掉了,流量到不都不了機房更別提主機了,還想防禦?
當然錢可以解決一切問題,國內那些雲是靠不住的直接找運營商,聽說雲堤現在能防5T了喲
7樓:59盾沐沐
直接找做防護的IDC公司,有防護的給你上防護就可以了你可以用高防伺服器,或用高防IP不需要搬資料,具體的可以諮詢有規模的IDC公司和企業不要找個人除非是認識和熟悉的人畢竟市面上魚目混雜的人比較多所以建議還在找公司靠譜些
8樓:
有解,扛得住,只是成本問題
我們公司的頻寬佔據了中國網際網路一半,天天都有節點因為攻擊被切掉不是因為扛不住,而是因為頻寬超了要額外掏錢噠,當然你們2、30G的小攻擊我們都是無視的
哦,不是無視,我們會注意頻寬不要超的,畢竟那都是小錢錢
9樓:whoami
如果攻擊不需要付出任何代價,可以逍遙法外的話。是的,DDoS確實無解(正常服務不受影響)。
另外,DDoS的防禦是要講究縱深的,並且已經從過去的被動防禦(流量清洗)發展到主動防禦(肉雞間諜、蜜罐等),防禦能力、預警能力、溯源能力都已經大大提高,黑客的攻擊成本也越來越高。總之,這是個道高魔漲的過程。
10樓:UIDX
技術細節方面的東西不是我的強項,但身在安全企業,這方面的東西還是了解的。
總的來說,在你試圖對國際網際網路(或國內網際網路)提供公開服務的時候,DDoS是無解的。
這不是錢的問題,是現實世界的問題。就算你有全世界最多的錢,也不代表你可以收買整個網際網路。增加再多的清洗裝置,負載分離,你能使用的基礎頻寬也是要收到主網路節點和線路的制約的。
只要對方發起攻擊的裝置夠多,分布夠廣,無論你是雙十一還是618,都是要苟延殘喘的,因為正常業務受理和DDoS攻擊根本就不是一回事,不是說你處理得了多少訂單,就能處理得了多少攻擊——車站排隊進站能順利春運,前提是這些人聽話在排隊。
另外,離開劑量談毒性是耍流氓,如果只是指令碼小子的那種小貓兩三隻做的DDoS,那還是沒必要提的。
11樓:
我們單位經常遇到DDos,每次都毫髮無損的過來了。其它幾個同等級的站很納悶,通過通管局來打聽,才發現…俺們是通過不斷加頻寬硬挺過去的,沒辦法,運營商最不缺的就是頻寬。
這個必須要匿名,不能惹禍,原因你們懂的。
12樓:Zign
無解。幾百G的流量灌進來一般AS的骨幹網都扛不住,正常的做法就是舍卒保帥,在上游新增/32的路由,直接把流量引入黑洞。
防住了嗎?防住了。骨幹網能保住。
不過到了這一步,挨攻擊的倒霉蛋攻擊期間肯定是無法訪問的。
13樓:冰凝
這種攻擊,無法徹底防禦。
理論上來說,純人肉不斷訪問也屬於ddos範疇(廣義的)
這種攻擊方式無法被徹底防禦。只能通過各種措施減少危害。所以可以說是無解的。
14樓:emsiokkim
我他媽學習從如何用「科學姿勢」上網逛到搭vps,再從搭vps逛到清除cnnic根證書,再逛到這個什麼是ddos…我整個人都不好了
我他媽的心很累
FML…
15樓:yang wang
當然有解,來看DDoS攻擊和DDoS防護方法你幫忙看看這7個說法靠不靠譜
toutiao.secjia.com/tag/ddos%E7%BC%93%E8%A7%A3.shtml">DDoS緩解計畫是否準備就緒
2、面對隨時變化的DDoS攻擊 DDoS防護也需要實時調整
3、可考慮採用第三方DDoS防護和DDoS緩解服務4、僅依賴本地的邊界防護是不夠的5、還需要監控應用層攻擊並採取防禦措施6、受到攻擊的組織需要經常溝通並協作7、當心「項莊舞劍」後的二次攻擊
16樓:
對DDOS 就採用分布式架構!
看誰更捨得投入了。
當然你的應用一定要優化好,別那麼輕易被掛掉.
知乎使用者:什麼是 DDoS 攻擊?
17樓:鄧國強
要知道DDOS不是現在無解,而是資源不對等,造成防守方無法獲取更多資源進行對抗,換句話說,只要你不把都會網路打攤,其實防守方在不計成本的情況下,是絕對可以抵禦的。這就是目前解決方案。
但是,每個人都有這種資源來抵抗嘛?顯然沒有!!
所以如果有一種方式,造成攻防雙方資源對調,那就是勝利了。我們就是這樣的方式,看我的文章。
18樓:吳鑫
新人路過,我是個動手大於理論的人,抓取資料報,檢視報文中的ip,尋找數量較多的ip位址段,寫個cal,犧牲小部分使用者,分布式攻擊時間都不會太久的,
19樓:咕嚕嚕小王子
DDoS 攻擊本身是無解的,因為DDoS的原因並不是因為伺服器或者路由器的安全性出現問題,而是因為機器必須連線到網際網路。而在防禦DDoS上存在乙個權衡問題,也就是"there is always a trade-off between accuracy of the detection and how close to the source of attack the prevention and response mechanism can stop or respond to the attack."
我覺得一些高票的回答可能有一些偏頗。可能提問者想問的是DDoS是否在技術上可以進行防禦的,但是感覺回答都有點偏原始的方法了。就像人家問線性規劃是不是可以標準化求解的,前邊的回答都是說在問題簡單的情況下可以通過列舉解決問題。
即使對於最基本的IRC-based這樣乙個樹狀結構(也就是最高票說的可以通過一台電腦一台電腦找的方式找到攻擊者的那種結構)也沒有從技術上進行解決的確切方案。更何況還有低軌道離子炮這種Web-based的,不是簡簡單單關掉一台主機就能解決的DDoS攻擊種類。以及目前幾乎沒有人注意的P2P方式的殭屍網路結構。
然而最近幾年有人在試著用機器學習在整個網路的路由器層級進行結構學習,分辨殭屍網路,並且聲稱取得了很高的準確率。但這樣的宣告想必也只能在學界看看吧。
綜上,DDoS並不是最low的攻擊方式,任何東西一旦涉及到網路就能弄出花來,最後把這個DDoS防禦弄成乙個NP-hard求解問題,怎麼解?
20樓:
首先DDoS也有不同的分類
網路層DDoS,成因是協議棧的缺陷,
應用層DDoS,成因是對某特定資源的響應需要占用大量的伺服器資源,導致服務佇列過長,從而鎖死對資源的訪問
所以防禦也有不同的辦法
我曾經在某CDN巨頭A(樓上提到過)工作過,其平台本身可以吸收巨大的DDoS流量(320GB/s),而且流量的本身也是分布式的,所以是由各個節點吸收的,這對網路層DDoS有很好的效果,對應畸形請求和其他網路層問題,這個行為是自動的。
對應用層DDoS,也可以通過快速部署WAF規則,或者阻斷某IP的方式來實現,通常部署的時間可以控制在15分鐘之內。考慮到節點的規模,這個速度很快了。除了A家的方式,還有一種方式是通過DNS重定向的方式,把流量分發到乙個資料中心裡,靠資料中心的處理能力來解決流量清洗的問題,Prolexic的做法就是這樣,許多後來的廠商也選擇這樣的辦法。
它的優勢是廠商不用考慮過多的分布式節點,對使用者的收費也比A家的方式優惠的多。
21樓:謝謝啊1阿薩
得看你有沒有錢,沒錢無解。
不要妄想幾台小破伺服器搞搞安全設定就能防d了,沒可能的。
這玩意就是兩邊拼錢,專業ddos都是有成本的,而且還老貴的。
一般沒有深仇大恨不至於玩太兇。
22樓:
首先了解DDOS 攻擊的三種型別:
1、頻寬消耗型攻擊;例如TCP
SYN-ACK Flood、IP
Fragment Flood、UDP
FLOOD;通過大量的資料報占用頻寬;
2、資源消耗型攻擊; 利用了HTTP 伺服器的一些漏洞,構建特殊結構的資料報或者請求,從而導致伺服器計算資源耗盡無法提供服務。 例如HTTP Get Flood。
3、DNS 攻擊; 向應用系統傳送大量的錯誤DNS解析請求,通過DNS遞迴查詢機制(NS伺服器需要進行頻繁的字串匹配,本地無法查到結果,必須使用遞迴查詢向上層網域名稱伺服器提交解析請求),占用伺服器的快取,導致資源不足無法正常提供服務。例如DNS query flood、DNS reply flood;
其次針對性的了解應對措施:
1、頻寬消耗型攻擊,部署流量清洗裝置,設定一定的閾值,超過閾值則丟棄資料報。 也可加大頻寬,提供業務訪問頻寬保障;或者識別出DDOS攻擊網段,在本地的運營商配合在骨幹路由器上將流量引入「路由黑洞」。
2、資源消耗型。部署流量清洗裝置過濾異常流量。對應用系統進行補丁、設定加固,消除漏洞。
3、DNS 攻擊型別。 需要流量清洗裝置進行攻擊防護,需要進行相關的安全設定。如限制每個源 IP 位址每秒的網域名稱解析請求次數,對突然發起大量頻度較低的網域名稱解析請求的源 IP 位址進行頻寬限制等等。
通過分析可以了解到,DDOS攻擊是多種型別的,每種攻擊都有一定的防護手段,採取有效的手段是完全可以控制DDOS攻擊的影響範圍。但是要攔截DDOS攻擊,需要耗費大量的人力物力,並協調運營商解決等等,非常難以有效防範。
如果沒有做好充足的應對措施,短時間內使無法防範DDOS攻擊的影響。
ddos攻擊是無解的嗎?
雲巴巴嚴選雲 硬剛真的不是乙個好方法,要是有資源,有實力,硬剛也沒啥問題,但確實費錢。解決DDoS攻擊可以通過清洗IP去實現,但其實總體實現起來並不容易。先要清楚DDoS攻擊的方式,攻擊發起者通過分布式殭屍網路發動殭屍流量攻擊,以及分布式Lot殭屍網路發動殭屍流量攻擊,然後這部分攻擊會像正常流量一樣...
以後的計算力是集中的還是分布式的?
一鍋出 未來的計算模型是雲計算 邊緣計算 終端計算的組合,當前是雲 終端的模式,例如所有的手機網遊。IT的下乙個趨勢,是將邊緣計算引入到網路中,在區域和網際網路的邊界上,存在大量的具備較強計算能力且與終端距離很近的節點,可以處理實時任務。物聯網落地後,大量終端資料需要利用邊緣計算做初步處理,也可以利...
人類的科學體系,是否也有可能是「分布式」而不是「規則式」的?
小男 知識的獲得大體分為三個階段,先廣度,再深度,再效率最佳。而科學體系也分為三大類。數學偏廣度,在各種是和不是的邊緣試探。物理學偏深度,在特定領域尋找理論和現實的距離。工程類是效率的科學,人類現實社會中的星辰大海。我想你說的分布式和規則式指的是確定和不確定的。其中不確定的,有邏輯體系的是神學和哲學...