V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
kongque2016
V2EX  ›  Linux

一个笨拙的抵挡 DDoS 的方法

  •  
  •   kongque2016 · 2018-08-19 14:06:37 +08:00 · 14464 次点击
    这是一个创建于 2322 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我的 vps 上架设的是论坛,我想到一个方法来抵挡 DDoS 攻击,下面是步骤:

    1,事先给 TCP 连接数设一个上限,发现被突破了,就认定为有人在 DDoS。
    2,检查当前所有 http 连接,如果是注册会员,则把相应 IP 送入紧急白名单。否则,断开连接。
    3, 接收到新的 http 访问时,核对其 IP 是否在白名单里。如果不是,转向一个登录(或注册)页面,要求他 3 分钟必须登录进来,否则禁掉这个 IP。

    这个方法的 bug,我现在想到有两个:
    1,DDoS 的攻击者是不是能轻易伪造自己的 IP 呢,如果这样的话,这个方法就没意义了。
    2,我 VPS 的防火墙禁了这些 DDoS 的 IP,是不是照样的产生流量。就是说,禁 IP 虽然能保全 VPS 自己,但网络端口照样有大量 IP 包涌过来(虽然我不收),网络照样被堵住?

    我对 DDoS 不熟悉,这个方法是凭空想出来的。请大家轻拍~
    105 条回复    2018-08-20 13:17:25 +08:00
    1  2  
    isCyan
        1
    isCyan  
       2018-08-19 14:11:42 +08:00   ❤️ 1
    由于 bug 2 这个方法无效
    chinvo
        2
    chinvo  
       2018-08-19 14:13:03 +08:00   ❤️ 3
    DDoS 攻击者无法伪造 IP
    但是 DDoS 可以堵死母鸡和 IDC 路由
    CESAFE
        3
    CESAFE  
       2018-08-19 14:14:15 +08:00
    除了硬抗,或者拉近黑名单 没其他办法~
    lhx2008
        4
    lhx2008  
       2018-08-19 14:17:30 +08:00 via Android
    没用,HTTP 的 TCP timeout 就几十秒
    t6attack
        5
    t6attack  
       2018-08-19 14:19:00 +08:00   ❤️ 5
    独立服务器勉强能采取一点措施。VPS 和防 DDOS 基本沾不上边。

    你的网站是一间屋子,而大规模 DDOS,是直接堵门。你在屋里任何防御措施都没用。
    防范 DDOS,是机房的事。你防的,其实是小规模 CC 攻击。
    loqixh
        6
    loqixh  
       2018-08-19 14:19:59 +08:00   ❤️ 1
    分清 CC 攻击和 DDoS
    DDoS 是直接发包的, 根本不会达到应用层
    了解一下常用的 dns 反射放大攻击
    http://www.freebuf.com/articles/network/76021.html
    kongque2016
        7
    kongque2016  
    OP
       2018-08-19 14:38:44 +08:00
    @所有人 谢谢大家,我在往上搜了不少文章,还是各位说得明白。
    但我看到网上有文章里说 DDoS 时用封 IP 来应对,例如这儿: https://www.cnblogs.com/xuepython/p/6780789.html
    是为什么呢?
    kongque2016
        8
    kongque2016  
    OP
       2018-08-19 14:40:43 +08:00   ❤️ 1
    @CESAFE 感谢回复!“拉近黑名单”,是什么黑名单呢?我看大家都说封 IP 无效啊。
    webjin1
        9
    webjin1  
       2018-08-19 14:50:05 +08:00 via Android
    ddos 打带宽流量,cc 打 cpu 内存资源
    vazo
        10
    vazo  
       2018-08-19 14:51:52 +08:00
    @t6attack 补充一下,机房就相当于你家物业安保,对方人少你自己能对付,人多了的就要找安保帮忙。
    realpg
        11
    realpg  
       2018-08-19 14:56:02 +08:00
    DDoS 能挡?
    笑……
    just1
        12
    just1  
       2018-08-19 14:56:46 +08:00   ❤️ 1
    你在一个孤岛,只有一条公路可以跟外面连通,ddos 就是洪水把路摧毁了,进也进不去出也出不来。cc 就是派好多车过来,塞车了。
    gamexg
        13
    gamexg  
       2018-08-19 14:57:46 +08:00   ❤️ 5
    @kongque2016 #7 那个作者可能弄混了概念,把 cc 当作 ddos 了。

    按我的理解, 一般 ddos 是通过放大攻击搞的,例如:攻击者控制 100 台肉鸡,肉鸡向互联网上的 1w 台 dns 服务器发出 dns 请求,但是源地址伪装成被攻击者 ip。dns 服务器就会向着 被攻击者发出 dns 响应。通过专门构建的 dns 请求,可以做肉鸡发出很小的包,但是 dns 服务器回应一个巨大的包来放大攻击流量,大量的流量直接占满服务器宽带来做到拒绝服务攻击。
    一些其他服务也能做到这种放大。

    被攻击的主要目的是宽带,比如服务器只有 100M 的宽带,但是 ddos 的流量达到了 1g,直接宽带满了,服务器再防御也没用。
    换算到现实类似于到工厂的路只能跑 100 辆车,但是攻击者做了 1w 辆车去,道路直接堵死,工厂内怎么优化也没用。这时候只能联系公路局扩路(升级宽带)或者联系交警提前在主干道、高速公路设卡,发现目的地是工厂的就直接检查是否是正常请求,不是直接在主干道拦截(中国电信云堤))。


    cc 是发出少量大资源消耗的请求来攻击,例如搜索等请求有高数据库 cpu 占用,那么专门发出少量的搜索请求就足够让数据库卡顿。
    realpg
        14
    realpg  
       2018-08-19 15:15:57 +08:00
    @chinvo #2
    啥?不能伪造 IP ?
    kongque2016
        15
    kongque2016  
    OP
       2018-08-19 15:16:05 +08:00
    @gamexg 谢谢,说得好明白。不过我又有一个问题,这样一来,我的 VPS 托管厂商难道检测不到?它攻击我的 VPS,必然要经过 VPS 厂商的物理网卡进来,对 VPS 所在的整个物理主机都有冲击吧? VPS 厂商为了不影响其它 VPS,会不会帮我做点儿什么?
    realpg
        16
    realpg  
       2018-08-19 15:17:24 +08:00   ❤️ 1
    @just1 #12

    CC 其实是在收费站缴通行费五万时候 你给的全是 1 分钱硬币 让窗口数……
    lscho
        17
    lscho  
       2018-08-19 15:17:29 +08:00 via Android
    ddos 是什么了解一下?不是 cc。。ddos 意思就是你服务器只有 100m 带宽,我就每秒给你发大于 100m 的数据,根本不需要到达应用层,直接网络就堵死了。

    你说的是 cc
    kongque2016
        18
    kongque2016  
    OP
       2018-08-19 15:18:14 +08:00
    @realpg 我写过网卡驱动,发送 IP 包时,自己的 IP 字段可以任意填,不过你填错了,应答包回不来。好像是这样。
    gamexg
        19
    gamexg  
       2018-08-19 15:19:17 +08:00 via Android
    @kongque2016 会做点什么,例如停机外加联系运营商将 ip 加到黑洞,骨干网所有路由器直接丢弃目的地是 vps 的数据。
    lscho
        20
    lscho  
       2018-08-19 15:20:57 +08:00 via Android   ❤️ 1
    @kongque2016 当然有这样的服务,黑洞清洗了解一下,高防 ip 了解一下价格。。。流量是你带来的,所以要么你交钱,要么流量到达一定程度后关停你的服务器
    gamexg
        21
    gamexg  
       2018-08-19 15:21:09 +08:00 via Android
    @kongque2016 同时应该还会给个邮件,告知被攻击了,请换一家 vps 提供商,好些的还会给你提供退款方式。
    realpg
        22
    realpg  
       2018-08-19 15:22:51 +08:00
    @kongque2016 #18
    需要回来么 2333
    gamexg
        23
    gamexg  
       2018-08-19 15:24:08 +08:00 via Android
    @kongque2016 源 ip 可以任意填,但是靠谱的 isp 都会检查源 ip 是否 2 正确,乱填的会被 isp 丢弃。但是极少数 isp 没做这个检查,所以存在伪造的情况。
    feifei8868
        24
    feifei8868  
       2018-08-19 15:45:23 +08:00
    一般 DDOS 现在都是利用反射 宽带攻击型 性能消耗型的少(性能消耗性的比较好处理) 把带宽打满 不管是独立还是 vps 还是云 自己都是没办法 只能找机房或云服务商(我们在传统机房的机柜租用,只要遇到了机房是先封了再说 哈哈 然后让你想办法)
    haimall
        25
    haimall  
       2018-08-19 15:51:08 +08:00 via Android   ❤️ 1
    你还没来得及判断 就已经满负载了。
    a22124497
        26
    a22124497  
       2018-08-19 15:52:53 +08:00
    一般说 DDOS,就是流量大,把你的带宽占满,CC 才是 CPU 资源类的攻击,
    攻击小了不用防,大了防不住,基本上是这样的吧
    chinvo
        27
    chinvo  
       2018-08-19 15:59:44 +08:00
    @realpg #16 DDoS 是实打实的流量,TCP 握手的时候源 IP 是无法伪造的

    参见 https://security.stackexchange.com/questions/37481/is-it-possible-to-pass-tcp-handshake-with-spoofed-ip-address
    realpg
        28
    realpg  
       2018-08-19 16:04:33 +08:00
    @chinvo #27
    那只能说 你开心那就是这样好了……
    c0878
        29
    c0878  
       2018-08-19 16:06:17 +08:00
    防 cc 可以这样防 带宽扛得住就行
    真大流量 flood 攻击过来 还是上高防吧
    crab
        30
    crab  
       2018-08-19 16:09:56 +08:00
    @realpg 伪造 IP 你是说 syn flood 吧
    MelodyCat
        31
    MelodyCat  
       2018-08-19 16:11:05 +08:00 via Android
    要么加防御硬扛,要么切换 ip 躲避。我有个游戏云服就是攻击来了自动切 ip,要不然很快就堵死了。。。
    keramist
        32
    keramist  
       2018-08-19 16:13:49 +08:00 via Android   ❤️ 1
    要么花钱 要么关站 一般都是混合攻击 小流量挡得住 大流量 洗洗睡
    realpg
        33
    realpg  
       2018-08-19 16:14:00 +08:00
    @crab #30
    并不是
    liuyanjun0826
        34
    liuyanjun0826  
       2018-08-19 16:19:31 +08:00 via Android
    伪造 ip 是什么? ip 还有假的?
    kongque2016
        35
    kongque2016  
    OP
       2018-08-19 16:22:38 +08:00
    @lscho 多谢指路,铜币已奉上。
    azh7138m
        36
    azh7138m  
       2018-08-19 16:26:01 +08:00 via Android
    老子就是要用 iptables 来防 ddos.webp
    kongque2016
        37
    kongque2016  
    OP
       2018-08-19 16:26:12 +08:00
    @MelodyCat 可是论坛域名固定,切了 IP,攻击者 ping 一下,就又知道 IP 了。
    kernel
        38
    kernel  
       2018-08-19 16:28:40 +08:00
    话说如果我办了一条大带宽的比如 500M 的家用宽带,是不是就可以 0 成本灭掉任何看不顺眼的小网站了?
    feifei8868
        39
    feifei8868  
       2018-08-19 16:32:36 +08:00
    @kongque2016 使用 CDN 哇 隐藏自己的真实 IP 小流量用 CDN 可不错啊
    Srar
        40
    Srar  
       2018-08-19 16:33:02 +08:00
    @chinvo IP 可以伪造

    只能说第一次 SYN 握手可以伪造 第二次回 ACK 会把 ACK 的 Seq 编号返回到伪造的 IP 上 第三次握手需要返回第二次的 Seq+1 所以不能建立 TCP 链接
    keramist
        41
    keramist  
       2018-08-19 16:34:12 +08:00 via Android
    @kernel 理论上只要你能上网 灭掉阿里都行 只要你比马云钱多
    towser
        42
    towser  
       2018-08-19 16:35:32 +08:00
    @kongque2016 自己乱构造 IP 包基本是发不出去的,机房也会做验证。
    liuyanjun0826
        43
    liuyanjun0826  
       2018-08-19 16:35:34 +08:00 via Android
    @Srar 谁会把 ACK ?
    Tianao
        44
    Tianao  
       2018-08-19 16:50:00 +08:00
    @kernel 你的意思应该是 DoS,但问题有三:你在明处、你只有一个 IP (即使是动态的)、法律合规。
    ithou
        45
    ithou  
       2018-08-19 16:51:13 +08:00 via Android
    cdn 应该很简单了
    chinvo
        46
    chinvo  
       2018-08-19 16:52:57 +08:00
    @Srar #40 好吧,SYN flood 也算 DDoS
    beastk
        47
    beastk  
       2018-08-19 16:53:22 +08:00 via iPhone
    挡不住 ddos,几万上百万访问,一般的服务器都挡不住。
    Admstor
        48
    Admstor  
       2018-08-19 17:01:43 +08:00
    楼主需要好好复习网络协议

    攻击者并不需要伪装自己的 IP,也没有必要伪装
    而是大量肉鸡集中在一个时间段对你的服务器发起大量请求,这些请求在还未到达你服务器的时候,就已经已经道路拥堵,本机的所有设置都只是杯水车薪
    你的方法只对 CC 类型的攻击有一些效果

    DDOS 只有运营商层面能有比较好的效果
    kernel
        49
    kernel  
       2018-08-19 17:01:53 +08:00
    @Tianao 我是指只有我一个 IP 能否对一个网站输出全部我的带宽伤害,不管对方做什么防御
    keramist
        50
    keramist  
       2018-08-19 17:05:14 +08:00 via Android
    @kernel 小网站 f5 都可以搞死
    liuyanjun0826
        51
    liuyanjun0826  
       2018-08-19 17:07:45 +08:00 via Android
    @kernel 不能,有可能被反向 ddos
    mytsing520
        52
    mytsing520  
       2018-08-19 17:12:20 +08:00
    CC 攻击可以考虑 ipset
    DDoS ……实打实的流量型攻击,世界级难题
    trys1
        53
    trys1  
       2018-08-19 17:14:33 +08:00 via Android
    这个方法只能某种程度地防 cc
    并不能防 ddos
    不知道我的说法对不对?
    liuyanjun0826
        54
    liuyanjun0826  
       2018-08-19 17:23:55 +08:00 via Android
    @trys1 当然是不对啦,这个方法只能防 udp
    CESAFE
        55
    CESAFE  
       2018-08-19 17:25:55 +08:00
    @kongque2016 安全组了解下。或者 iptables 了解下
    webjin1
        56
    webjin1  
       2018-08-19 17:42:17 +08:00 via Android
    @realpg 不能伪造 ip,都是控制肉鸡,肉鸡真实存在,肉鸡发出去的攻击包 ip,源地址也是真实的 ip
    webjin1
        57
    webjin1  
       2018-08-19 17:46:46 +08:00 via Android
    那些说伪造 ip 的,就算假如能伪造 ip 不用 N 多肉鸡打,直接用发起控制机打,比如发起者端口带宽是 10M 目标服务器端口带宽是 100M 你发出去的包源 ip 是伪造的,ddos 也攻击不死目标,最多是无法查出你真实 ip。而发动 ddos,用肉鸡就是叠加带宽群殴一个目标。
    Mac
        58
    Mac  
       2018-08-19 17:50:16 +08:00
    DDOS 的威力是根本分辨不了哪些 IP 是正常业务,哪些是被控的肉鸡,犹如 T 病毒扩散后,你想分检从浣熊市里冲出来的人谁有病毒,不可能的,全杀。
    Srar
        59
    Srar  
       2018-08-19 17:53:49 +08:00   ❤️ 1
    @webjin1 伪造 IP 是为了反射攻击时候把 dst ip 替换成受害者机器 /t/434111 了解下
    webjin1
        60
    webjin1  
       2018-08-19 17:53:55 +08:00 via Android
    @Mac 这个要看清洗设备,我见过一些机房的防火墙清洗能力还是可以,识别率,和误封虑不错,当然肯定不是 100%。
    msg7086
        61
    msg7086  
       2018-08-19 17:54:51 +08:00
    @webjin1 反射放大攻击呢?
    而且为什么只用一台控制机打?为什么能伪造 IP 就不能用肉鸡?
    webjin1
        62
    webjin1  
       2018-08-19 18:01:12 +08:00 via Android
    @Srar 嗯,可能理解意思不一样,你反射的 ip。比如你向那些有漏洞可以利用的肉鸡发出一个查询包,你自身通信的的源 ip 没法伪造吧,包里面构造的查询包里面的源伪造目标 ip 然后发送到漏洞的肉鸡进行反射,漏洞肉鸡看数据包的查询的源 ip 那是伪造出来的是受害者的。那回包按照这个了。
    lslqtz
        63
    lslqtz  
       2018-08-19 18:02:05 +08:00
    你带宽够配置大,iptables 都能拦下 ddos
    Srar
        64
    Srar  
       2018-08-19 18:06:16 +08:00
    @webjin1 伪造的就是我自身通讯的源 IP, 查询包内不包含源 IP 一个是 TCP/IP 层的 一个是应用层的

    https://github.com/Srar/MemcacheDos/blob/master/RawUdp.ts#L22
    webjin1
        65
    webjin1  
       2018-08-19 18:08:55 +08:00 via Android
    @msg7086 我说的是那种抓的肉鸡里面种植了直接发动 ddos 程序木马,去攻击。反射攻击的那些肉鸡服务器管理员就真的活该了,那些本来可以利用反射的程序可以打补丁。
    webjin1
        66
    webjin1  
       2018-08-19 18:12:06 +08:00 via Android   ❤️ 1
    @Srar 哦,上次听电信的人说,电信的 idc 部署的安全设备 那些所有发出去的包都会检测源,只要是伪造的源都会丢弃。
    Srar
        67
    Srar  
       2018-08-19 18:14:34 +08:00
    @webjin1 某些国家的某些机房没检测源 IP 就可以随便搞事。。。
    webjin1
        68
    webjin1  
       2018-08-19 18:18:20 +08:00   ❤️ 1
    @Srar 我也是上次听我朋友说,他租用的一个双线机房,电信,联通的线路,很麻烦要做策略路由.
    机房是在电信机房,但是有联通线路进来,默认路由是电信网关出去,他的联通 ip 不做配置出不去,说电信会检测源,收到联通的源 ip 发出去的包会直接丢弃.
    webjin1
        69
    webjin1  
       2018-08-19 18:21:02 +08:00
    @lslqtz 如果按照单个 xxx.xxx.xxx.xxx/32 精细的匹配条目,iptables 规则条数有没有上限,这个倒不知道.
    webjin1
        70
    webjin1  
       2018-08-19 18:32:10 +08:00
    @Srar 我在想这些反射攻击,如果别人反射攻击我的服务器,我服务器开启抓包,然后完事,我分析数据包,把那些攻击源 IP 收集起来,那日后我也可以利用这些有反射漏洞肉鸡,免费得来肉鸡不费功夫. 平常这些反射攻击工具网上应该一大把吧,我看你刚刚发我的 github 代码,好像都是你自己写的.
    Srar
        71
    Srar  
       2018-08-19 18:40:20 +08:00
    @webjin1 可以那么干也不可以...因为反射出来的流量很大 当时我搞的时候 2m/s 反射出了 250G+流量 如果你直接抓流量的话恐怕已经在硬防那边过滤掉了或者你的机器直接被空路由了 如果流量很小的话可以抓到
    liuyanjun0826
        72
    liuyanjun0826  
       2018-08-19 18:57:35 +08:00 via Android
    @webjin1 不行的,反射攻击和反射漏洞是两回事
    CRVV
        73
    CRVV  
       2018-08-19 19:12:51 +08:00
    既然说自己对 DDoS 不熟悉,那至少先读一下 https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A

    DDoS 是一个非常宽泛的概念,方法非常多,根本不可能存在一种能防所有 DDoS 的方法
    而楼主说的方法显然可以防某一种方式的 DDoS

    我之前就没听说过 CC 攻击,据上面的链接所说,这也是 DDoS 的一种
    进一步考证了一下,这应该是一个中文圈子里的词,用 Google 搜索 Challenge Collapsar 的前 9 条结果全是中国人写的
    exhades
        74
    exhades  
       2018-08-19 19:14:48 +08:00
    流量一大。。。你都没开始判断就 GG 了 - -
    wwwxxxfr
        75
    wwwxxxfr  
       2018-08-19 19:15:43 +08:00   ❤️ 1
    很简单一句话,除了花钱买流量,DDOS 无其他解
    qiukong
        76
    qiukong  
       2018-08-19 19:21:08 +08:00 via iPhone
    @kongque2016 会帮你把你的 IP 从路由拉黑。这样所有流量到达机房路由器就直接被丢包了。
    liuyanjun0826
        77
    liuyanjun0826  
       2018-08-19 19:27:19 +08:00 via Android
    @wwwxxxfr 你不说 ddos 是 tg 还是私人,私人那肯定封 ip 能解决,tg 你封 ip 先不说你有钱没钱,他要是破门你怎么办?
    yexm0
        78
    yexm0  
       2018-08-19 19:29:28 +08:00 via Android   ❤️ 2
    @webjin1 是整个电信的骨干网络都配置了过滤,当年出过新闻的。可惜就是看过这条新闻的人都联想去封杀 vpn 那里了。
    然而这招其实也没啥用,你挡着别人赚钱了人家照样有很多方法修理你,例如下面这家,被 d 得那叫一个惨
    qiukong
        79
    qiukong  
       2018-08-19 19:37:37 +08:00 via iPhone
    DDOS 就是一大堆人同时访问你服务器,在流量没到服务器前已经把你服务器的网口堵死了。比如 DDOS 攻击的规模是 5Gbps,给你的网口只有 1Gbps,那就 GG。
    比如你机房总带宽有 100Gbps,那流量到达机房路由器是没问题的,但机房为了不影响其他客户会从机房总路由把你 IP 直接 Null 掉,这样刚到机房就没法访问了。
    更严重些比如 DDOS 流量有 200Gbps,那连你机房总宽带都会被打瘫。这时候机房只能接入类似 Voxility 的第三方防御线路,那种带宽一般有 1000Gbps,他们专搞 DDOS 清洗会把攻击流量分流到几千台服务器上,判断并回流到机房。当然这样搞会导致绕路,就是所有流量先走到清洗机房比如罗马尼亚,然后再回到你机房。
    个人防御 DDOS 类似 Cloudflare,就是在你网站外面套个 CDN,把所有对你网站的访问分流到全球几千台服务器去清洗回流,这样攻击流量被冲散。OVH 原理类似,只不过在他们机房内分散清洗。但是你源 IP 暴露以后再套 CDN 一点用都没有,他们还会继续打你源 IP。而且 Cloudflare 可能会漏尽一些流量,导致你服务器依然承受不了。
    如果攻击规模到达 500Gbps 以上很可能连国家出网宽带都打瘫痪了,那种结果就是全中国的用户都没法访问你所在机房,或者走同样线路机房的所有网站。
    说到底还是拼宽带大小,宽带小的就自求多福吧,本机搞什么措施都没用。
    Nobitasean
        80
    Nobitasean  
       2018-08-19 19:41:26 +08:00
    Distributed Denial of Service 分布式拒绝攻击,除非你关机
    liuyanjun0826
        81
    liuyanjun0826  
       2018-08-19 19:43:37 +08:00 via Android
    @qiukong 这人是开玩笑,请他 ddos 我
    blackhacker
        82
    blackhacker  
       2018-08-19 19:50:59 +08:00
    都已经 DDoS 了 还黑名单 白名单有意义吗?
    XiaolinLeo
        83
    XiaolinLeo  
       2018-08-19 19:58:05 +08:00 via iPhone
    @kongque2016 会给你封机器...
    singerll
        84
    singerll  
       2018-08-19 20:02:39 +08:00 via Android
    ddos 走的是 icmp 吧,应该是在二层,你在四层 tcp 和七层 http 能防住?
    OneNian
        85
    OneNian  
       2018-08-19 20:08:43 +08:00
    为什么很多人都把 DDoS 和 CC 分开了,DDoS 是一个大概念,CC 也是一种 DDoS 攻击吧
    std
        86
    std  
       2018-08-19 20:10:48 +08:00
    那些所谓的“服务器防火墙”软件大致也是这种原理,对于小流量攻击能有一定效果,可是流量大了就吃不消了。
    loading
        87
    loading  
       2018-08-19 20:12:10 +08:00 via iPhone   ❤️ 2
    建议楼主按自己的方案部署好,然后把 ip 贴出来,很快你就知道有没有用了。
    liuyanjun0826
        88
    liuyanjun0826  
       2018-08-19 20:18:43 +08:00 via Android
    @loading 估计不行啊,他要是把他自己服务器到期当成有人 ddos 他就麻烦了,说不清了
    abmin521
        89
    abmin521  
       2018-08-19 20:28:38 +08:00
    @yexm0 同行攻击么
    yexm0
        90
    yexm0  
       2018-08-19 20:35:05 +08:00 via Android
    @abmin521 不清楚了,他们说不知道是谁干的。没人留狠话,也没人来要钱,就无端端被打了。
    defunct9
        91
    defunct9  
       2018-08-19 20:50:24 +08:00 via iPhone
    被 D 的很惨,两种做法,和上级 bgp 协商直接扔到 bgp 的黑洞里,这个过程其实很有趣,涉及网络的 bgp community 广播,但是,自己的 ip 也废了。第二种,发现 ddos,同样通过 bgp 把流量牵引到清洗厂商,再把清洗过的流量用 gre 隧道引回来,当然,你也可以自己清洗。大多数人其实都没有实地干过,国内环境根本不允许你 bgp peer。
    caola
        92
    caola  
       2018-08-19 20:53:15 +08:00
    DDOS 包含了 CC 攻击,CC 只是属于 7 层攻击,
    7 层以下的攻击,基本都只能拼宽带
    cherryas
        93
    cherryas  
       2018-08-19 21:03:26 +08:00
    关机黑洞了解一下
    nciyuan
        94
    nciyuan  
       2018-08-19 21:41:24 +08:00 via Android
    另外给楼主解释一下,社会人来你家,不打你,就赌楼道,想要找你的朋友到不了你家,因为楼道有宽度,这叫 DDoS
    @keramist 大哥,你真牛逼乎,我这 1G 内存的树莓派都能;5-10QPS
    wqyyy
        95
    wqyyy  
       2018-08-19 22:26:04 +08:00 via Android
    @kongque2016 像 conoha 听说会热心地帮你封号不退钱...
    https://blessing.studio/mail-log-to-conoha-user-center-after-ddos/
    > 谢谢,说得好明白。不过我又有一个问题,这样一来,我的 VPS 托管厂商难道检测不到?它攻击我的 VPS,必然要经过 VPS 厂商的物理网卡进来,对 VPS 所在的整个物理主机都有冲击吧? VPS 厂商为了不影响其它 VPS,会不会帮我做点儿什么?
    tulongtou
        96
    tulongtou  
       2018-08-19 22:29:50 +08:00
    @kongque2016 vps 厂家会把你 ip 停掉的
    Loyalsoldier
        97
    Loyalsoldier  
       2018-08-19 22:36:22 +08:00
    上面几乎没人能完整说明白 DDos 和 CC 的关系……

    DDos 大类型包括两种:带宽消耗型攻击 和 资源消耗型攻击。而 CC 攻击属于资源消耗型攻击,也就属于 DDos。在开始讨论解决方案之前,先把概念厘清应该比较有助于各位理解并统一共识。

    DDoS 概念解读请参考维基百科: https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A

    以上
    akira
        98
    akira  
       2018-08-19 23:22:32 +08:00
    @kongque2016 谢谢,说得好明白。不过我又有一个问题,这样一来,我的 VPS 托管厂商难道检测不到?它攻击我的 VPS,必然要经过 VPS 厂商的物理网卡进来,对 VPS 所在的整个物理主机都有冲击吧? VPS 厂商为了不影响其它 VPS,会不会帮我做点儿什么?
    ------------------------
    会的,把目标是你的 ip 的所有数据包进黑洞
    opengps
        99
    opengps  
       2018-08-19 23:36:14 +08:00 via Android
    在有防御的的云环境下,DDOS 的流量根本不到你服务器,所以这些方法无效
    举例说,我服务器网卡才 1000M,但是攻击我的流量往往 10G 起步,应该说真有攻击来了,几乎没有多少正常到达服务器的流量
    Clarencep
        100
    Clarencep  
       2018-08-20 08:54:53 +08:00
    "DDoS 是直接发包的, 根本不会达到应用层" +1
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   972 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 20:26 · PVG 04:26 · LAX 12:26 · JFK 15:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.