肚量大如海的DDoS高防|云安全3期

gagalau 发表于 2020/02/05 14:15:59 2020/02/05
【摘要】 无惧大流量攻击

要问网站和应用最怕什么攻击,DDoS绝对名列前茅。特别是游戏、电商等对实时性要求较高的行业,一旦被DDoS攻击,访问卡顿、业务中断,很容易造成用户流失、营业额下降。

DDoS,全称Distributed Denial of Service,即分布式拒绝服务。其原理是通过对承载网站和应用的服务器发送大量无用请求,耗尽服务器CPU、内存等资源,让服务器卡顿甚至奔溃,以至本来正常的用户请求无法响应,即“拒绝”了正常的访问。

举个栗子,某面馆A生意兴隆,对面的面馆D看不下去了,决定要搞一下A,于是花钱雇了100个人,每天在A家坐着,但又不点东西,正常的用户进来一看,连坐的地方都没有,赶紧到D去吃得了。

可见,DDoS攻击的本质是:正常的用户不能得到服务,都被恶意或者垃圾的连接堵塞了。

当然,真正的DDoS攻击手段很多,但万变不离其宗,都是利用TCP等协议栈或服务器本身的漏洞达成攻击,比如业界典型的SYN Flood攻击,就是利用了TCP协议的漏洞。

学计算机的同学应该对每年必考的TCP三次握手很熟悉:

image.png

第一次握手,客户端向服务器发送一个SYN报文,就相当于用户对服务器说:服务器,我要跟你建立TCP连接。

第二次握手,服务器向客户端发送一个SYN+ACK报文,ACK是对第一次握手中SYN报文的确认,相当于说:好的,我同意建立连接。

第三次握手,客户端向服务器发送一个ACK报文,确认第二次握手中的SYN报文被成功接,TCP连接成功建立,服务器和客户端开始数据传输。

问题就出在第二、第三次握手间。恶意的客户端如果一直不给服务器发送本来应该发送的ACK报文,服务器就会一直等待客户端的报文,而且还会主动向客户端发送SYN+ACK报文,并且等待30秒到2分钟后,如果还是没收到客户端的ACK报文,服务器才会关闭连接。等待的过程也要耗费资源来保存第一、第二次握手产生的参数,攻击者如果使用大量的恶意客户端去连接服务器,但又不完成第三次握手,那就会把服务器的CPU和内存耗尽,进而达成攻击目的。

所以呢,DDoS攻击无论从技术上还是成本上,都很简单粗暴,而且效果超好,真可谓“居家旅行、杀人灭口的必备良药”,也就难怪这么多攻击者喜欢用DDoS攻击,而大家又这么怕DDoS攻击了。

DDoS攻击者需要发起很大的流量进行攻击才有效,最起码要比被攻击的目标的带宽大,比如某服务器的带宽是200Mbps,那1Gbps的流量打过来,服务器肯定挂了。一般这些大流量来自2个地方,一个是有些黑产做的流量平台,攻击者向这些平台租赁流量。几年前曾出现过不少“50块钱包打挂网站”的流量平台;另一个是自己去攻击机器,植入木马,把这些机器变成可以随意操控的“肉鸡”(也称“傀儡机”,顾名思义,就是被人控制的机器),用这些“肉鸡”来组成僵尸网络,远程发送指令让这些“肉鸡”对目标发起攻击。CNCERT在2018年共发现了140万余台肉鸡,而这只是冰山一角。万物互联时代,每个摄像头、每个手环、甚至家里的智能电冰箱、空调,都可能成为“肉鸡”。

鉴于DDoS攻击简单粗暴的攻击效果,业界也发展出了很多成熟的防攻击手段,比如华为云的DDoS高防,其原理是当服务器被DDoS时,及时切换到一个受保护的IP上,这个IP能够抵挡很大的流量,比如华为云的高防单IP最高可防御600Gbps的攻击,总带宽更达5Tbps。当大流量攻击这个受保护的IP时,这个IP会把大流量牵引到云上的防御中心,中心会对恶意和正常流量进行标记和清洗,恶意的,阻断或者丢弃;正常的,则送回服务器。这样,对用户和服务器来说,攻击似乎就没有发生过,因为恶意的流量都被防护中心“消化”掉了。

image.png

所以,大流量攻击就相当于泥沙俱下、奔涌而来的大江大河,防御中心则相当于肚量大如海的蓄水湖,把这些流量统统吸收进来,然后让干净的流水慢慢流到下游的田地里,泥沙则被拦截住了。

从上面的叙述,也可以知道,一款DDoS高防产品好不好,核心是3点:

1、带宽够不够大,能承受多大的流量攻击;

2、清洗够不够准,不能把正常的清洗掉,恶意的放走了;

3、速度够不够快,不能半天判断不出来流量的好坏,正常用户也被晾在一边了,出现卡顿。特别对游戏网站,不能出现用户发出“进攻”操纵半天了,画面还没反应。

对应上述三点,华为云DDoS高防单IP最高可防御600Gbps的攻击、总带宽更达5Tbps;正常业务流量0误杀;清洗延迟毫秒级,不卡顿,体验好。

看完了忍不住想买?请点击链接

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。