V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FifiLyu
V2EX  ›  信息安全

求 DDOS 攻击对策

  •  
  •   FifiLyu · 2015-05-20 09:27:22 +08:00 · 7188 次点击
    这是一个创建于 3504 天前的主题,其中的信息可能已经有所发展或是发生改变。

    各位V友好!请教一个问题:我所在的公司有 ISP 业务,在电信机房有一些机柜+1G带宽。因为同行业务竞争、客户业务类型关系,经常被 DDOS。虽然有金盾防火墙,但是自己的带宽被跑满1G,还是会导致网络中断。

    目前的解决办法:
    1. 找到客户的网站或者 VPS,停掉,让客户转移走或者退款
    2. 实在找不到被攻击的目标网站或者 VPS,就联系电信做空服务器IP地址。然后,我们自己更换服务器 IP

    因为没有足够的网络带宽和资源,面对DDOS时,实在是束手无策啊!

    第 1 条附言  ·  2015-05-20 15:38:03 +08:00
    标题有歧义。
    是公司网络被DDoS攻击,求应对策略。
    54 条回复    2015-05-21 14:48:52 +08:00
    Septembers
        1
    Septembers  
       2015-05-20 09:37:54 +08:00   ❤️ 1
    黑洞?
    edwinlai
        2
    edwinlai  
       2015-05-20 09:55:34 +08:00   ❤️ 1
    硬件防火墙在流量攻击面前毛用都没有,
    建议做netflow 流量检测,检测有被攻击ip,立马发送给上游供应商null ip,尽量减少对其他无辜的用户影响
    有钱,就加大出口,拼带宽
    yingluck
        3
    yingluck  
       2015-05-20 10:05:10 +08:00
    哪里来的金盾防火墙?
    est
        4
    est  
       2015-05-20 10:09:07 +08:00   ❤️ 2
    1G的带宽基本没有太好的办法,只能靠上游帮你清洗流量。。。。。。。

    据说上次gfw去打google的cdn,几百个G的流量过去,别人没发现。。。。。流量还不如直播女王登基60周年庆典的大。。。。。。
    FifiLyu
        5
    FifiLyu  
    OP
       2015-05-20 10:19:59 +08:00
    @Septembers 没资源...阿里之类的有钱公司才有这个能力。我们公司小啊
    FifiLyu
        6
    FifiLyu  
    OP
       2015-05-20 10:20:39 +08:00
    @edwinlai 确实我们这种情况,硬防没用。非常感谢建议。
    FifiLyu
        7
    FifiLyu  
    OP
       2015-05-20 10:21:14 +08:00
    @yingluck 自己公司买的,上到自己机柜的交换机下的。
    FifiLyu
        8
    FifiLyu  
    OP
       2015-05-20 10:22:15 +08:00
    @est 确实只能靠上游了。Google 带宽多得很,哈哈
    TimLang
        9
    TimLang  
       2015-05-20 10:24:57 +08:00   ❤️ 1
    DDOS无解啊。何况别人搞你也要花钱的,走一步算一步吧。

    基本就是硬抗,查查看被攻击点是否存在性能问题,没钱情况下,只能做这么多了。
    sker
        10
    sker  
       2015-05-20 11:16:03 +08:00
    现在很多云计算安全公司提供DDOS防御服务
    wy315700
        11
    wy315700  
       2015-05-20 11:20:16 +08:00
    上CDN
    itsjoke
        12
    itsjoke  
       2015-05-20 11:44:23 +08:00   ❤️ 1
    被DDOs攻击不能避免,只能把影响减小。
    为什么会被攻击?总的来说都是跟业务有关系,可以从业务方面入手,进行筛查。从而减小被攻击的可能性。
    第二如果跟ISP关系好的话可以考虑使用flow采样监控,发现有攻击了使用bgp black hole或者类似的方法及时封锁IP,减小影响。
    edwinlai
        13
    edwinlai  
       2015-05-20 11:58:24 +08:00   ❤️ 2
    还有一个弱方法,根据netflow采集记录查找前几位攻击最大src ip,然后发abuse邮件或者打电话, 一般国外运营商看见abuse邮件会处理,竟然增大攻击者的成本
    rainy3636
        14
    rainy3636  
       2015-05-20 12:42:26 +08:00   ❤️ 1
    $
    geekzu
        15
    geekzu  
       2015-05-20 13:07:48 +08:00 via Android   ❤️ 2
    强迫症来歪个楼,DDoS才对,你们大小写不对2333
    tangooricha
        16
    tangooricha  
       2015-05-20 13:13:35 +08:00   ❤️ 1
    @FifiLyu 方法一、以受迎攻。好处是省钱,坏处是睡不好!
    方法二、找运营商买流量清洗服务。好处是通常能彻底解决问题,坏处是可能要花钱。
    另外,如果对运营商有精神洁癖,那建议选方法一;否则方法二比较靠谱。
    cevincheung
        17
    cevincheung  
       2015-05-20 13:16:17 +08:00
    cevincheung
        18
    cevincheung  
       2015-05-20 13:16:35 +08:00
    最后别忘了换个ip
    imn1
        19
    imn1  
       2015-05-20 13:54:20 +08:00   ❤️ 1
    @geekzu
    我也强迫症,你说英文我说中文吧
    求的,应该是防御对策,而不是攻击对策,看标题我还以为 LZ 想干掉谁
    timor
        20
    timor  
       2015-05-20 13:56:44 +08:00
    群英.最佳的选择.
    FifiLyu
        21
    FifiLyu  
    OP
       2015-05-20 15:27:33 +08:00
    @TimLang 确实是。
    FifiLyu
        22
    FifiLyu  
    OP
       2015-05-20 15:28:15 +08:00
    @sker 我们是自己的KVM私有云,其他云服务商的服务,我们不好整。
    FifiLyu
        23
    FifiLyu  
    OP
       2015-05-20 15:29:00 +08:00
    @wy315700 非常多的业务类型,CDN仅仅能解决Web相关的。其它的没办法搞。
    FifiLyu
        24
    FifiLyu  
    OP
       2015-05-20 15:30:27 +08:00
    @itsjoke 这个确实最能把影响最小化。看了大家的回复,和我分析的差不多,基本对我们公司来说无解。只能从前期的用户疏导,平时的业务筛选入手了。
    FifiLyu
        25
    FifiLyu  
    OP
       2015-05-20 15:31:38 +08:00
    @edwinlai 被DDoS时,看了日志,都是非TCP,src ip一看就知道是虚假的。
    上层能否看到源IP,这个就不清楚了。
    FifiLyu
        26
    FifiLyu  
    OP
       2015-05-20 15:31:53 +08:00
    @rainy3636 实在人。
    FifiLyu
        27
    FifiLyu  
    OP
       2015-05-20 15:32:26 +08:00
    @geekzu 哈哈,感谢指教!是 DDoS,是DDos。嗯,现在对了
    FifiLyu
        28
    FifiLyu  
    OP
       2015-05-20 15:34:27 +08:00
    @tangooricha 以受迎攻 请指教,没明白。找电信处理任何事情都是求爷爷奶奶,而且只有白天能处理,次数多了,他们超级不耐烦,都是大爷。
    FifiLyu
        29
    FifiLyu  
    OP
       2015-05-20 15:35:21 +08:00
    @cevincheung 没通用性,我们业务太多。但是,还是感谢。
    FifiLyu
        30
    FifiLyu  
    OP
       2015-05-20 15:36:13 +08:00
    @imn1 哈哈,不好意思。是有点歧义,改不了标题呢。我追加描述吧。
    FifiLyu
        31
    FifiLyu  
    OP
       2015-05-20 15:37:10 +08:00
    @timor 我们和群英算是同行。只是,我们部分业务没放到高防机房。才导致这样的问题。
    wy315700
        32
    wy315700  
       2015-05-20 15:41:43 +08:00   ❤️ 1
    @FifiLyu 有基于TCP的CDN啊
    FifiLyu
        33
    FifiLyu  
    OP
       2015-05-20 15:44:20 +08:00
    @wy315700 哇~,我去了解一下。
    cst4you
        34
    cst4you  
       2015-05-20 15:45:54 +08:00   ❤️ 1
    关客户的机让他回家睡觉, NULL他的路由, 拔线, 让客户花钱扛.
    FifiLyu
        35
    FifiLyu  
    OP
       2015-05-20 15:56:04 +08:00
    @cst4you 首先要能找到这个客户。然后,你给他说给钱,客户直接会说:“滚蛋。”。最后,我们就把客户赶走了。就是这个样子!!!
    cst4you
        36
    cst4you  
       2015-05-20 16:47:11 +08:00   ❤️ 1
    @FifiLyu 那就让他滚蛋~
    timor
        37
    timor  
       2015-05-20 16:55:09 +08:00   ❤️ 1
    @FifiLyu 我没有别的意思,希望你别误会.1G带宽在群英的客户群里算中小型客户.你们既然现在属于起步阶段,就要借助各种资源来强大自己.不要因为是同行而有抵触情绪.1个T的攻击对群英来说都不是事!
    sker
        38
    sker  
       2015-05-20 16:55:59 +08:00   ❤️ 1
    @FifiLyu 我记得貌似好像有厂商从DNS 就直接过滤掉攻击的
    cevincheung
        39
    cevincheung  
       2015-05-20 17:46:22 +08:00   ❤️ 1
    @cevincheung 360网站宝有api接口全自动处理。只要你让你的客户把dns解析交给你来执行就可以了。
    daoluan
        40
    daoluan  
       2015-05-20 19:28:29 +08:00   ❤️ 1
    @edwinlai 发邮件?
    kiddolck
        41
    kiddolck  
       2015-05-20 20:16:54 +08:00   ❤️ 1
    除了把被攻击的客户干掉没其他办法了,纯IDC托管的话。
    FifiLyu
        42
    FifiLyu  
    OP
       2015-05-20 22:32:53 +08:00
    @timor 哈哈,不会介意。本来就是小公司。因为全是低价产品(实在不想吐槽了),量是非常大,没利润,所以才叫“小公司”。老板有同行“被害妄想症”,总是别人会对自己不利,什么都自己做。非常感谢!
    FifiLyu
        43
    FifiLyu  
    OP
       2015-05-20 22:33:55 +08:00
    @sker 网站的话,确实有这样的服务。不过,还有很多tcp和udp之类的服务。这些没好的办法。
    FifiLyu
        44
    FifiLyu  
    OP
       2015-05-20 22:34:11 +08:00
    @cevincheung 同上。
    FifiLyu
        45
    FifiLyu  
    OP
       2015-05-20 22:34:42 +08:00
    @kiddolck 只能干掉用户。没办法,汗!
    lsylsy2
        46
    lsylsy2  
       2015-05-21 00:18:41 +08:00 via Android   ❤️ 1
    被攻击的用户要么滚蛋,要么出钱上高防。
    或者整体上高防,然后让所有用户出钱。
    扛攻击是烧钱的玩意。
    billwang
        47
    billwang  
       2015-05-21 08:42:31 +08:00   ❤️ 1
    这种攻击只能用硬件抗或者砸钱啦,和机房沟通看看能否临时增大带宽,让攻击者增大攻击成本。
    jiongjionger
        48
    jiongjionger  
       2015-05-21 09:04:57 +08:00   ❤️ 1
    DDos多少流量?应该是纯UDP放大的攻击吧。可以考虑换高防机房,基本高防机房单机防御120G还是没问题的。
    FifiLyu
        49
    FifiLyu  
    OP
       2015-05-21 09:16:56 +08:00
    @lsylsy2 确实。我们就是这样的做,请走被攻击的用户。
    FifiLyu
        50
    FifiLyu  
    OP
       2015-05-21 09:17:37 +08:00
    @billwang 机房带宽只有40G,其中大部分被腾讯和优酷给占用了。没希望。
    FifiLyu
        51
    FifiLyu  
    OP
       2015-05-21 09:18:48 +08:00
    @jiongjionger 我们也有高防机房,120G 4000元/月。只是被攻击的这个机房,没带宽资源,小公司也没钱请电信大爷友情处理。哈哈
    sker
        52
    sker  
       2015-05-21 09:36:50 +08:00   ❤️ 1
    @FifiLyu 基本上都是CC类的 看来只能租好的机房了
    jiongjionger
        53
    jiongjionger  
       2015-05-21 10:10:29 +08:00   ❤️ 1
    @FifiLyu 没高防基本无解啊。人家直接发流量,你拦截没拦截都是要吃宽带的。网站还是客户端的,也没办法控制CDN这些东西,实在不好搞
    tangooricha
        54
    tangooricha  
       2015-05-21 14:48:52 +08:00   ❤️ 1
    @FifiLyu 换句话说,要么向黑产交保护费,要么向运营商交“流量清洗”服务的服务费。当然,很多高防公司都是黑白通吃的,也许向他们交点钱,事情就解决了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   976 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 18:56 · PVG 02:56 · LAX 10:56 · JFK 13:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.