【大话IT】创业的N种死法：抵御DDoS攻击花钱致死

yanengineers

获奖详情：http://bbs.chinaunix.net/thread-4192449-1-1.html


今日前“汽车之家”媒体业务总监韩路，现在的斯帕克科技-创始人/CEO发长微博抱怨DDoS攻击，部分摘录如下：
起因：今日凌晨开始，我们5X兴趣社区访问不了了，我们技术同事查看阿里云后台，发现有人用DDoS攻击导致， 我们开始找阿里云的客服，对方回答的类似意思就是我们替你们扛住了2个G的攻击，但是超出了，所以我们给你们放在黑洞里，停了你们的访问服务了。阿里云有高防IP额外服务，可以把攻击引入那里，保证主站可访问，每个月峰值不超过20G的话是1.68万，超过另算。

求教汽车之家运维的前辈表示，DDoS攻击，真没办法。…唯一的办法就是找大水池子，洪水来了，别冲毁你的小水库，都引入大水库了，保证小水库正常访问，也就是阿里云提到的那个高防IP的服务。

最终：我们采购了阿里云的高防IP服务，也就是阿里云提供的大水池子，这个水池子有多大？就是大到300G的攻击都能容下，阿里云负责给你清洗数据，攻击数据让大水池承担，良性访问走主站。

韩路结论：
    *创业，如果钱不够，真得死，如果做互联网相关，比你想象的最惨情况再多准备50%的钱吧。
    *摊上了DDoS攻击，没别的招，尽早去找大水池子分担。
    *DDoS成本很高，攻击1G的话，市面行情需要500元，便宜了说也得250元，所以今日一天攻击我们的DDoS得花费1万元左右。
*网络防护不能省啊，尽早建立好预警机制和逻辑，起码每个做互联网创业的，都得提前找好大水池子，一旦被DDoS，立刻启动大水池子，反正早晚都是花这笔钱，还不如准备好了，减少抉择时间就能减少宕机时间了。
兄弟单位情况：我朋友圈发了这个消息，一堆做社交、论坛的朋友纷纷表示，都在创业某个时期被DDoS，然后都“被迫”买了大水池子，之后就好了，他们说“保护费”这步是绕不开地.


讨论话题：
1、你或你所在的公司是否遇到过DdoS攻击？
2、面对DDoS你们的解决办法是？
3、对于初创企业您认为该如何应对DDoS攻击？
4、防御DDoS攻击最大的问题是什么？或者说防御DDoS应该准备什么？


讨论时间：9月30日—10月30日


活动奖励：
关于本话题，兄弟们有其他看法也可补充说明，活动结束后我们将选取5名讨论精彩的同学各奖励技术图书一本。

demilich

如今DDos的攻击已经形成完整的产业链了 ... 明码标价，童叟无欺啊

demilich

1、你或你所在的公司是否遇到过DdoS攻击？
- 没有，但是关于Ddos攻击的新闻，算是不绝于耳啊：老罗锤子手机发布会官网遭到Ddos攻击， 前两天的魅族发布会也遭到Ddos攻击 ...

2、面对DDoS你们的解决办法是？
- Ddos攻击是一类攻击，涵盖的范围还是很广的。从技术角度来讲，想要完全杜绝Ddos攻击是不可能的，只能缓解，对于有钱的公司自然是烧钱建立完善的多级防御体系，针对不同类型的Ddos都做到很好的防护。

3、对于初创企业您认为该如何应对DDoS攻击？
- 直接上云平台吧，比如阿里云的云盾，就声称能够防护多少个G的Ddos攻击 ...
- 说起来，这年头公司会遭到Ddos攻击也算是被竞争对手认可的一个标志。而对于愿意花钱购买几百个G的Ddos攻击的竞争对手到底是谁，只要在行业内，猜猜也能猜个八九不离十 ...

4、防御DDoS攻击最大的问题是什么？或者说防御DDoS应该准备什么？
- 目前Ddos攻击非常复杂，想要防御这样的攻击，至少要建立4层完善的防御体系，应对网络安全的团队也需要建立一整套完整的预案，不然在应对Ddos攻击的时候会手忙脚乱。其实，无论防御Ddos攻击和购买Ddos攻击，其实都是政治和钱的问题 .. 说起来，初创公司在这种事情上，真的是比较无力啊  ...

lygxy

1、你或你所在的公司是否遇到过DdoS攻击？
遇到过，游戏主页服务器和网页游戏服务器被攻击过
2、面对DDoS你们的解决办法是？
刚开始运维这方面经验不足，一有这类攻击直接上硬件防火墙，后来有经验了，优化服务器设置防小规模的攻击
3、对于初创企业您认为该如何应对DDoS攻击？
做好自身的准备，服务器优化之类的肯定要做，剩下的就是￥的问题了，实在不行投降，花钱消灾
4、防御DDoS攻击最大的问题是什么？或者说防御DDoS应该准备什么？
网络先天就不好防DoS攻击，只要出得起￥，差不多想打死谁就打死谁
技术+￥都得准备

qingduo04

看来开网站，也是和现实中开商铺一样，得交保护费啊....................

lsstarboy

当前的环境下，只要有对外的公用IP，受点攻击是肯定的，最主要的攻击目的也就几个：1、对手；2、推销；3、政治原因；4、小屁孩练手，对中小企业、单位来说，黑客组织本身的攻击基本上没有，因为这些网站对黑客来说没啥用处。
上面4个攻击目的中，第二个最为恶心，因为在接到推销广告后，如果不理睬，过不了几天就会有攻击出现。

当攻击出现时，其实也不用太恐慌，仔细分析一下攻击特征，应该可以规避一段时间，只要你能挺过几天的时间，攻击就会自已消失，因为这些攻击都要是花钱买的，钱花的效果不大，自然就会消失了。
目前的攻击，有几种还是有防御可能的，并且属于大多数情况：
1、攻击源：一般来说，买来的攻击源IP都带有地域性，我们这儿常出现的是广西、天津、福建等地的IP，遇到这种情况，一方面可以批量封掉这些IP，另一方面如果可能的话，改DNS也不错，把网站解析到当地的大网站，或者到当地买个便宜的主机，让他们自娱自乐去，反正这些地区在攻击时都连不到真正的网站（前提是你能掌控DNS，特别是DNS要可以用view，实在没办法，也可以忍痛扔掉联通或电信）。
2、数据包特征：除了极品的黑客组织，一般的攻击都只用其中很少的几种，特别是现在很多攻击是CC、sync、icmp，这类攻击相对来说还是比较好防范的，防火墙花费的代价不是非常高，带宽才是大问题。

最不好防范的是放大类的攻击，好在这类攻击针对中小企业的非常少。

防御DDoS，小企业最好不要把业务全放在一个地方，现在虚拟主机不是太贵，多买几个放着也比临时抱佛脚强，这个受了攻击马上换下一个，以分布式抗分布式，应该是比较实惠的方案。
虽然像某云有高强度防御的vip业务，但问题是你有那些闲钱没有？另外多少G的流量又能有谁去确认呢？今天20G明天会不会成为30G……此处省略十二个问题！

所以我的结论：初创业企业，最好多备几条线路，再多从社会学的角度分析，性价比比买服务要高一些，何况主动防御，还是一个技术积累的过程呢，这种无形资产也是很值得考虑的！

onlyword

死的好奇葩。。。各种死法

jszxcyit

一、你或你所在的公司是否遇到过DdoS攻击？

遇到过，这种事情一般的企业都会有的。
二、面对DDoS你们的解决办法是？

骗子哪里能够成为黑客呀，这些攻击者一般都是小混混（我习惯称呼他们为哆哆嗦），会使用几个工具罢了。
不用害怕，这帮人的功力不高的。

你可以记录比较详细的日志，包括防火墙日志，一般来说还是比较容易找到攻击你网站的IP的。只要知道了IP，其他很多事情都好做了。例如，你可以写一段代码自动过滤掉某些IP的请求，或者返回警告信息。如果类似的有害请求很多，你可以把多个IP归类，有可能这些IP后面都有一个总控制的机器，找到那个总控制机器的IP就很有希望找到幕后黑手了。

本人的网站曾经被入侵，后来小心的修改了一些代码和设置了服务器配置，到目前为止还没啥问题。现在基本上可以轻易的看见哪些IP的请求有害，我都全部写入日志了，并且永久性的保存在网络硬盘中。

抗DDOS产品第一是放在网络出入口处，抗来自外网的大流量以及基与系统漏洞，CC应用攻击等，也就是说如果你如果有对外的官网，邮件业务来往就存在被攻击的隐患。再说你公司内部员工自身主动或被动操作也会给你公司核心服务器区带来威胁，那么也就是说抗DDOS产品亦可放在你们内网核心服务区前


三、对于初创企业您认为该如何应对DDoS攻击？


DDOS攻击的重心是堵塞服务器，阻碍域名解析访问，因此技术高手也会束手无策，被攻击后我们可以采用以下“特殊”方法解决：

　　1、通知网站的访问者，暂时通过IP来访问你的网站。当然，也可以启动下你手上的朋友人脉，让他们用IP来访问主页。这样做的话，既能之对于访问者，能保持局部的正常。另个目的，就是引诱攻击者去堵塞IP，给他多一个露出马脚的机会。

　　2、向政府机关报案。现在国家法定的网络安全侦察机构是公安部公共信息网络安全监察局及各地公安机关所属处。至于联系方式嘛，百度一下，你就知道。这个是走法律程序上的报案。当然，这不是唯一的报警机构，你还可以向更多机构请求援助。当然，政府机构的效率你不能要求太高，所以还是要自己边动手。两手抓，两手都要硬。

　　3、联系联系高技术型的朋友，备份并分析服务器的日志。有看到相同IP集中访问的进一步调查，如果是假IP，就直接放弃。如果是真IP，就联系IP所有者，告诉对方，服务器有安全隐患，请维护。并把联络过程记录下来，多方确认。

　　4、不要通过任何媒介或方式公开网站被攻击的任何进展，这样就中了攻击者的陷阱啦，我们要绝对的忽略他，并且保持一切工作低调进行，这样久了，对方就会失去非法攻击的乐趣和成就。当然，也不是说我们就“不作为”了。

　　5、接下来就是冲锋陷阵了!连上您所在服务器IDC的骨干网，和非法攻击者对峙。从他塞过来的数据里找马脚，分析对方的方法、习惯和秉性。这个需要找个高手去做。一旦确定可疑，记录下来，马上联络对方警告或通知公安机关现场拘捕。

　　6、更改服务器IP，恢复域名解析。等待他找到你的新IP并再次攻击时，又可以通过这个来捕捉其马脚。然后再改，周而复始。当然，前提是你的ISP不嫌烦。或者你物质势力雄厚的话，可以选择增加服务器、增加带宽、增加软硬件防火墙，以物质实力把对方彻底拖垮，实在都如果不行的话，这步就跳过。

　　7、收网;让律师、公证等各处公证评估受到非法攻击的损失，作为公诉证据请求公安机关向法院公诉非法攻击者，要求赔偿损失或依照刑法破坏计算机系统罪判其5年有期徒刑。

　　以上是应对网站攻击的一些方法跟建议，供大家参考。

nail78

1、你或你所在的公司是否遇到过DdoS攻击？
     还没有遇到过

2、面对DDoS你们的解决办法是？
     从主机方来说，关闭不必要的服务，限制同时打开的半连接数目，缩短半连接的timeout,及时更新补丁；从网络层来说，启用防火墙要防DDOS属性，限制同时打开的最大连接数等.

3、对于初创企业您认为该如何应对DDoS攻击？
     在主机和网络层面设置基本的防御，想再更好的防御，就需要更大的投入了。或者就租用云平台。

4、防御DDoS攻击最大的问题是什么？或者说防御DDoS应该准备什么？
    成本开销的问题，DDoS是破坏系统的可用性，让系统资源耗尽或忙于发送回应包而造成拒绝服务，完全杜绝DDOS是不太可能的，对于攻击方和防御方都要消耗成本的，增强了防御能力，也就增加了攻击的成本。