在防护DDoS时会遇到哪些问题,该怎样解决?
有效防护DDoS攻击是众多“出海”企业必须关注的问题。近年来,随着国内互联网市场巨头垄断下的流量竞争愈演愈激烈,越来越多的企业被迫“出海”,尤其是电商和游戏行业。
然而海外业务的快速扩张往往也伴随着势不可挡的黑暗势力——恶意DDoS攻击,频繁遭受DDoS攻击就会让本该为用户提供服务的资源忙于应付攻击者的请求,导致服务端瞬间失去服务能力,难以对正常用户的请求。
众所周知,DDoS攻击是一种非常普遍且最为有效的网络攻击方式。法国社会学家涂尔干曾经说过:“一个行业的先进程度与其行业的细分程度成正比。”从这个角度看,DDoS行业已经是一个高度发达、高度发展的行业。
DDoS攻击行业涉及到多个利益环节,首先,会有一个软件开发团队专门用来负责写木马,木马开发完成之后,将会交由木马的运营团队和销售团队进行销售。而僵尸网络的运营者将会拿到这些木马并且进行挂马传播,最终使客户的主机和电脑受到入侵,成为僵尸网络中的一员,而僵尸网络最终也会成为DDoS攻击的一个资源的提供者。另外有一波软件开发人员,他们用来开发DDoS攻击平台,DDoS攻击平台开发完成之后,将会有DDoS开发平台的销售去向客户进行销售。而客户最终只需要打开一个网页,输入攻击的域名或者输入一个IP地址,就可以开展一次攻击。
从这个角度大家可以看到DDoS攻击并不是一项技术门槛非常高的攻击手段,恶意竞争者只需要付费即可轻松展开一次DDoS攻击,不需要任何的技术学习和门槛。
人潮熙熙,皆为利来;人潮攘攘,皆为利往。DDoS攻击行业背后的利润巨大,例如,基本每个游戏上线的时候都会遭受几次DDoS攻击,而DDoS攻击的来源可能是勒索组织,也可能是竞争对手。因此,企业要想出海好好发展业务,必须将防护DDoS作为业务考虑中的关键一环。
但企业在防护DDoS的同时,也将面临两个问题:接入防护后的代理模式将攻击流量引导至第三方,不可避免增加延时; 防护能力越强防护成本越高,回源带宽也是一笔很高的成本。
DDoS攻击一般来说可以分成两大类,一类是流量攻击,一类是协议攻击。流量攻击,就是采用大流量的攻击,占满用户的带宽,使得用户的正常流量被丢弃。举一个比较典型的例子:2018年GitHub遭遇到了史上最严重的一次DDoS攻击,其峰值带宽高达1.35T,这次攻击就是黑客利用了memcached的反射漏洞,发起了一次反射的流量攻击。而所谓协议攻击,最常见的是syn flood攻击,即攻击者通过发送大量的syn包建立大量半开连接,耗尽用户主机的资源,从而导致用户的主机崩溃,不能够正常对外提供服务。
而防护DDoS攻击一般来说有两种方式
一种方式就是在业务机房边缘去做流量清洗,此时业务机房需要具备足够大的上联带宽,将正常流量和攻击流量全部收进来之后,在业务机房的边缘还需要有一套分析设备和一套清洗设备,分析设备通过对流量的镜像分析,可以分析出哪个IP被攻击了;而清洗设备一旦发现哪个IP被攻击之后,就会发起流量的牵引,将被攻击的IP的所有的流量引入清洗模块;清洗模块根据攻击的特征筛选掉攻击的流量,从而将正常的流量下放至客户的源站。
第二种方式则是用专门的高防机房,比如说客户的业务需要部署在自己的业务机房内,而将入口放在高防机房中。高防机房通常都有足够大的上联带宽,会对流量进行清洗,从而将正常的流量通过公网回源至用户的源站。
第一种方式要求业务机房有足够大的上联带宽,同时每个业务机房都必须有足够强大的清洗和分析设备,这个条件对于很多企业来说还是比较苛刻的。而如果采用第二种专门的高防机房的方式,由于它是一种代理的模式,因此不可避免会引入额外的网络延时。此外回源机房也是需要一部分的外网带宽的,这部分成本也是相当大的。
所以企业根据可能被攻击的量级来选择合适的防护DDoS方式才是最好的选择。因为总的来说,一个高防防护的IP地址,它的延时和它的防护能力,是鱼和熊掌不可兼得的。防护等级越高,一般来说,延时会有一些比较明显的影响。