肚量大如海的DDoS高防|云安全3期
要问网站和应用最怕什么攻击,DDoS绝对名列前茅。特别是游戏、电商等对实时性要求较高的行业,一旦被DDoS攻击,访问卡顿、业务中断,很容易造成用户流失、营业额下降。
DDoS,全称Distributed Denial of Service,即分布式拒绝服务。其原理是通过对承载网站和应用的服务器发送大量无用请求,耗尽服务器CPU、内存等资源,让服务器卡顿甚至奔溃,以至本来正常的用户请求无法响应,即“拒绝”了正常的访问。
举个栗子,某面馆A生意兴隆,对面的面馆D看不下去了,决定要搞一下A,于是花钱雇了100个人,每天在A家坐着,但又不点东西,正常的用户进来一看,连坐的地方都没有,赶紧到D去吃得了。
可见,DDoS攻击的本质是:正常的用户不能得到服务,都被恶意或者垃圾的连接堵塞了。
当然,真正的DDoS攻击手段很多,但万变不离其宗,都是利用TCP等协议栈或服务器本身的漏洞达成攻击,比如业界典型的SYN Flood攻击,就是利用了TCP协议的漏洞。
学计算机的同学应该对每年必考的TCP三次握手很熟悉:
第一次握手,客户端向服务器发送一个SYN报文,就相当于用户对服务器说:服务器,我要跟你建立TCP连接。
第二次握手,服务器向客户端发送一个SYN+ACK报文,ACK是对第一次握手中SYN报文的确认,相当于说:好的,我同意建立连接。
第三次握手,客户端向服务器发送一个ACK报文,确认第二次握手中的SYN报文被成功接,TCP连接成功建立,服务器和客户端开始数据传输。
问题就出在第二、第三次握手间。恶意的客户端如果一直不给服务器发送本来应该发送的ACK报文,服务器就会一直等待客户端的报文,而且还会主动向客户端发送SYN+ACK报文,并且等待30秒到2分钟后,如果还是没收到客户端的ACK报文,服务器才会关闭连接。等待的过程也要耗费资源来保存第一、第二次握手产生的参数,攻击者如果使用大量的恶意客户端去连接服务器,但又不完成第三次握手,那就会把服务器的CPU和内存耗尽,进而达成攻击目的。
所以呢,DDoS攻击无论从技术上还是成本上,都很简单粗暴,而且效果超好,真可谓“居家旅行、杀人灭口的必备良药”,也就难怪这么多攻击者喜欢用DDoS攻击,而大家又这么怕DDoS攻击了。
DDoS攻击者需要发起很大的流量进行攻击才有效,最起码要比被攻击的目标的带宽大,比如某服务器的带宽是200Mbps,那1Gbps的流量打过来,服务器肯定挂了。一般这些大流量来自2个地方,一个是有些黑产做的流量平台,攻击者向这些平台租赁流量。几年前曾出现过不少“50块钱包打挂网站”的流量平台;另一个是自己去攻击机器,植入木马,把这些机器变成可以随意操控的“肉鸡”(也称“傀儡机”,顾名思义,就是被人控制的机器),用这些“肉鸡”来组成僵尸网络,远程发送指令让这些“肉鸡”对目标发起攻击。CNCERT在2018年共发现了140万余台肉鸡,而这只是冰山一角。万物互联时代,每个摄像头、每个手环、甚至家里的智能电冰箱、空调,都可能成为“肉鸡”。
鉴于DDoS攻击简单粗暴的攻击效果,业界也发展出了很多成熟的防攻击手段,比如华为云的DDoS高防,其原理是当服务器被DDoS时,及时切换到一个受保护的IP上,这个IP能够抵挡很大的流量,比如华为云的高防单IP最高可防御600Gbps的攻击,总带宽更达5Tbps。当大流量攻击这个受保护的IP时,这个IP会把大流量牵引到云上的防御中心,中心会对恶意和正常流量进行标记和清洗,恶意的,阻断或者丢弃;正常的,则送回服务器。这样,对用户和服务器来说,攻击似乎就没有发生过,因为恶意的流量都被防护中心“消化”掉了。
所以,大流量攻击就相当于泥沙俱下、奔涌而来的大江大河,防御中心则相当于肚量大如海的蓄水湖,把这些流量统统吸收进来,然后让干净的流水慢慢流到下游的田地里,泥沙则被拦截住了。
从上面的叙述,也可以知道,一款DDoS高防产品好不好,核心是3点:
1、带宽够不够大,能承受多大的流量攻击;
2、清洗够不够准,不能把正常的清洗掉,恶意的放走了;
3、速度够不够快,不能半天判断不出来流量的好坏,正常用户也被晾在一边了,出现卡顿。特别对游戏网站,不能出现用户发出“进攻”操纵半天了,画面还没反应。
对应上述三点,华为云DDoS高防单IP最高可防御600Gbps的攻击、总带宽更达5Tbps;正常业务流量0误杀;清洗延迟毫秒级,不卡顿,体验好。
看完了忍不住想买?请点击链接。
- 点赞
- 收藏
- 关注作者
评论(0)