免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819

生产环境中对于防范DDOS攻击的讨论(获奖名单已公布) [复制链接]

论坛徽章:
27
CU大牛徽章
日期:2013-03-13 15:15:08CU大牛徽章
日期:2013-05-20 10:46:38CU大牛徽章
日期:2013-05-20 10:46:44CU大牛徽章
日期:2013-09-18 15:24:09CU大牛徽章
日期:2013-09-18 15:24:20CU大牛徽章
日期:2013-09-18 15:24:25CU大牛徽章
日期:2013-09-18 15:24:31CU大牛徽章
日期:2013-09-18 15:24:36CU大牛徽章
日期:2013-09-18 15:24:41CU大牛徽章
日期:2013-09-18 15:24:48CU大牛徽章
日期:2013-09-18 15:24:52处女座
日期:2013-09-27 17:45:43
发表于 2012-04-26 23:21 |显示全部楼层
本帖最后由 yifangyou 于 2012-04-26 23:34 编辑

1、DDOS几种常见攻击方式的原理及解决办法
答:我知道的是
     1)SYN攻击
        攻击者伪造IP发送syn数据包到服务器上尝试建立连接,充满整个半连接队列,迫使系统丢弃那些正常的访问

       解决办法:暂时无,只能把半连接队列调大,对连半接数进行监控,若是达到80%就报警,
      2)UDP攻击
        由于UDP是无连接的,攻击者发送大量伪造IP的UDP包,服务器正常处理后,返回UDP包给伪造的IP,这样攻击者用一倍的流量,却占用服务器两倍的流量,若是用肉机的话,十台机器,就可以花费服务器二十倍的流量,超过服务器的服务能力和上限
      解决办法:把系统做成分布式,增加带宽,增加硬件资源
     3) 控制肉鸡发出数据包
        攻击者控制成百上千的肉鸡,向服务器发出数据包,生生把服务器的带宽给占满

    解决办法:把系统做成分布式,增加带宽
    4)频繁访问web服务器上某个耗时耗cpu最大耗内存的页面
     攻击者选取web服务器上某个耗cpu最大耗内存的页面,或者利用编程语言漏洞或者设计缺陷(hash算法失效),让服务器瘫痪

    解决办法:尽量把页面静态化,或者做CDN加速
2、生产环境遇到过的DDOS攻击及应对措施
    我在做智能DNS开发时,做过伪造IP发送DNS测试,单台PC的DNS服务器能够支持3万个请求,当时公司遇到过DDOS,处理的办法是用云计算,在各地的服务器临时启动虚拟机把DNS部署上去,基本上10分钟能够起个5台虚拟机。由于DNS的NS记录是可以支持多个DNS服务器轮询,因此虽然旧服务器不能工作了但是新服务器能够正常工作
3、为应对DDOS攻击而做出的架构设计
如下图所示,我公司的两台DNS受到DDOS攻击了,我们发现后,立刻在亚马逊云(举例)上生成5台DNS服务器,然后修改NS记录把这5台机器加上,这样正常的请求可以访问到新的DNS服务器上,用云主机的好处是平时不用准备硬件资源和网络资源,减少投入,应急时,可以快速部署,而且云主机是按照cpu,内存,流量收费。
这种方式是及时利用大公司的资源来增强自己的抗攻击能力,花最少的资源解决大问题

DDOSvsd.jpg

论坛徽章:
0
发表于 2012-04-27 00:31 |显示全部楼层
回复 66# platinum


    这个说错了,应该是攻击者一方也使用了类似于SYN cookie的方法,伪造ACK包

论坛徽章:
0
发表于 2012-04-27 00:32 |显示全部楼层
本帖最后由 king_819 于 2012-04-27 00:33 编辑

回复 68# Godbach


    对,这个能在ISP层实现是最好了,当然这个可能性不在,就看你跟ISP的关系了,能到IDC层实现也不错

论坛徽章:
0
发表于 2012-04-27 09:34 |显示全部楼层
回复 62# inwing


    这种大流量的攻击毕竟还是少数,攻击方要动用的资源也是大量的,相对成本也是很高的,运气不好,我是碰到过两次,整个机房挂掉

论坛徽章:
0
发表于 2012-04-27 09:38 |显示全部楼层
回复 71# yifangyou


    利用云主机临时扩展,增加防护,减少成本,收缩自如,是个不错的方法

论坛徽章:
0
发表于 2012-04-27 11:19 |显示全部楼层
一直关心这个问题,但基本都是简单的防堵,坐看大牛们的好建议。

论坛徽章:
0
发表于 2012-04-27 11:33 |显示全部楼层
很好,支持,帮顶。。。

论坛徽章:
0
发表于 2012-04-27 12:00 |显示全部楼层
很值得关注下

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-27 12:27 |显示全部楼层
回复 74# king_819

只要有肉鸡,发起大流量的攻击还是比较轻松的,UDP 这种包可劲发就成了。

   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-27 12:28 |显示全部楼层
回复 74# king_819

我遇到的是,机房把  IP 封了。

   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP