上周,安全狗SRC联合SRC部落,携手推出了爆款话题: 传统抗D设备 vs 新兴CDN抗D:抗D效果哪个好? 一经发布简直好评如潮,热评无数,四方雷动(?) 原帖在此,错过的吃瓜表哥们可以再围观一下~ https://bbs.ichunqiu.com/thread-21821-1-1.html 懒癌晚期的表哥如果不想一一浏览,小编特别汇总了一下诸位大佬的优质回复, 并且邀请了xiaoye大佬对下面的汇总做了一下独具匠心(?)的技术点评。 表哥们快来围观一下这些技术含量多汁到滴水的精彩发言,顺便提升一下对DDoS的整体认知吧! 账号153XXX39703的大佬,从安全狗用户的角度解读了ddos。这位大佬最近遇到了“通过千万台肉鸡同时对目标进行访问造成目标带宽瞬间跑满宕机,直接影响公司业务“的问题,并且总结了防御ddos的方式: 防DDOS无非以下几种办法: 总结的都是企业常见的一些防御手段,很不错哦~ 而下一位,xiaoye大佬也小试牛刀,分享了一波经验: ddos是分布式拒绝服务攻击,单纯的dos攻击其实很容易防范,一般做的规则是对ip的频率数据包量等进行控制,这个在waf或者iptables里都是常见的规则,很容易防范:扫带waf的网站是经常被“拉黑”就是对ip的频率做出的限制;p.s:iptables绝对是异常强大的访问控制工具,用好了事半功倍,甚至堪比硬件防火墙(这句话不是我说的。。不知道真假欸) 防御ddos,大厂商想要安全性可以去流量清洗,而一些小厂商,或者个人blog的站长,这个方式显然太烧钱了,开始也不能一直被d不是;有底子的站长可以去做反向代理加负载均衡,抗一小波流量是不成问题的,cdn也是用到了负载均衡技术哦~
元霸大佬的观点是“新兴和传统的手段,硬件设备都一样,无非是在硬件资源,宽带资源进行流量进口量的放大。
”
并且提出了方案:
有个人曾经写过一篇《十全大补帖,抗DDoS究竟哪家强?》 观点和防御ddos的基本方法说的都很不错,针对企业也提出了一些方案。 yangwen表哥则是就硬件防火墙和cdn都发表了观点: 我去年在的一家公司曾经一段时间收到过100~200G的ddos攻击还有数不胜数次的CC攻击! 高防硬件防火墙也是有限制的,不可能扛下无限流量;cdn更加理智,多节点可以分担攻击流量,而且负载均衡也有神奇的效果,当然想用高质量的cdn,money肯定是要掏的~
可以看到不少大佬也是在工作中遇到了ddos和cc攻击(ddos在实际中发生的很频繁啊~)
遭遇到ddos攻击后,厂商或者站长绝不应该采取容忍的态度,要积极的去防御,必要时候要采取法律手段。
降龙大佬也是遇到过ddos,他认为被动的防御不是解决办法,并且呼吁相关部门对此采取措施。行政和法律方面我们不多谈,我们目前能做的就是建立自己的防御机制:
一些主机商遭遇ddos攻击大多是选择忍到攻击停止,不仅可能会对在他们服务器上搭建的网站或者一些服务器进行的工作造成极大的影响,间接的造成经济损失,甚至会流失大量的客源,危害极大。 wuli zusheng表哥也发表了精辟观点: 常规硬件防火墙一般来说对于抗DDOS的作用不是太大,因为常规防火墙主要是依靠控制通过防火墙的IP地址和端口进行防护的。而DDOS往往是大量IP同时并发进攻防火墙。如果攻击者选择80端口作为攻击端口的话,由于网站自身服务必须要防火墙放行80端口,因此对此攻击方式是没有太好办法。另外DDOS攻击的方式有两种,一种是大量的数据包阻塞网络带宽,这个需要使用负载均衡设备进行分流与流量清洗;另一种是大量的半开连接请求耗尽服务器资源池,这个就需要加大服务器硬件配置,缩短连接超时时间,建立服务器分布式集群等方式来进行对抗了。CDN有流量清洗就不用自己。 简单粗暴的解决方式:砸钱。。哈哈,当然表哥也提到了个人可以做的一些防御措施,如负载均衡、建立集群等等
屌丝绅士表哥更是接连两次发表了观点:
回复1: 第二个内容针对企业防御ddos提供了很好的思路:“分布式”,分布式的dos攻击,用分布式的思想去防御(cdn的多节点和这个有点类似)
卖假药的大橙子表哥观点如下
:
A10 Network*(666).目前为止没有比较厉害的办法。无论是传统还是新型技术。都处于相对比较被动的位置。技术永远受限于攻击方。上海云盾出的太极。目前没有很完全的数据公布。不清楚新一代的对抗情况。对抗死循环在于,D法本身是占用用户的正常区域资源所导致的技术方向,企业和用户也无法放弃这一块的资源利用。问题就在 传统和新型技术目前还都是较为被动的状态,这是实话,所以目前的机制依旧不是很完善:只要肉鸡多流量够多,理论上可以打死任何站。。
fs冷逸表哥从主动防御的角度出发谈了自己的看法:
分布式拒绝服务(Distributed Denial of service)简称DDOS,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上,代理程序收到指令时就发动攻击。 虽然无法彻底防御ddos,但是站长/厂商的主动防御将大大提升攻击的成本,对ddos也将起到一定的作用。
zooujun
如是说:
看到有活动,非常高兴可以参加。个人的小白一枚,技术很菜。但是看到这个话题,结合自己的经验,简单的说一说。传统抗D设备 vs 新兴CDN抗D:抗D效果哪个好? 表哥分析了新兴的抗d设备和手段,他认为抗d厂家将会越来越多、越来越专业。
细心大佬有两次回复,因为太长啦,摘选其中精华的一段,完整版可以详见原帖:
回到正题:至于DDOS 我们应该从实际出发,针对我们的客户做成比较合理的方案,方案是什么?我的理解就是money,因为根据实际环境我们要去判断我们or那些人针对我们的客户(或者客户其他)我们还要判断客户的money他可以做多大的 安全防护,或者他对于假如遭到DDOS的损失,or以及遭到DDOS攻击时候,我们要有想要的预案,或者说告诉客户如何去处理。快速的解决。保证我们正常的业务范围不受到不法侵害。 以及: 在合理的money下给出最优的解决方案保证我们客户的利益,是最好的结果,也是我们品牌价值最高的体现! 最后的方案给的很好,必要时候我们的确需要取证,借助法律的力量来进行反击,维护自己的合法权益。
infosafe表哥总结了很多
实用的抗d措施:
国内各种盾不少,抗ddos能力也是相差不大,随拉几条 除了抗d措施,表哥也提到了以后抗d的趋势:识别+cdn清洗(其实,识别是更难实现的,误判、漏判都将造成一定的后果)。
mycookie表哥再次提到了cdn
:
安全狗很好。 有兴趣的小伙伴可以去深入了解一下cdn的思想,非常有意思~
1012699799大佬提出了很不错的观点:
DOS和DDOS是什么?不想说,你们自己知道就好,不知道问百度去 堵不如疏,这位大佬应该是认为被动防御,不如主动疏导,将流量分流降低压力,很不错的思想~ 总结:
防御ddos,需要整个行业的支持,这项事业既不可能一蹴而就,也不可能单独一家企业或者个人力挽狂澜。
防御ddos的路还有很远,但是路虽远,行必达,愿热爱it行业的每个人、每家企业都能为ddos防御体系的建设贡献一份力量! 再次感谢友情支持的xiaoye大佬~ 欢迎大家在下方留言 |
【安全狗SRC】抗D设备哪家强?你来!大佬告诉你答案
最新推荐文章于 2024-03-12 17:32:59 发布