看报告里显示的攻击时间是从 10:14~12:39 。
在 11:00 - 12:00 这段时间陆续有用户反馈网站无法打开,在这个时间自己也测试了,确实 ssh 连接不上服务器,登录不上去。
攻击停止后,有个疑问:攻击带宽峰值没有达到基础防御的 2G 。为啥中间一段时间服务器无法访问?
咨询了云厂商技术支持客服,对话如下:
Q: 今天上午服务器被攻击,带宽峰值是 1.8G 但是基础防御是 2g 为啥被攻击的时候 出现服务器没法访问呢?
A: 您好,基础防御是 2g ,您今天收到的这次攻击流量为 1.8G ,防护住了,是没进行封堵的。"但是中间出现一段时间 服务器无法访问 是啥原因呢" --- 当时是因为在攻击中,所以没法访问的。
Q: 既然防护住了,为啥服务器却不能访问了? 如果我买 10g 的防御 遭受 1g 的攻击 防护住了 也会出现正常用户无法访问的情况吗?
A: 您好,您的正常请求夹杂在攻击的流量当中,这个是无法区分出来的,会被一起防护的。防护的作用是让服务器不被运营商进行封堵,不会导致攻击结束后,服务器依然不能访问的情况
Q: 这个可以理解为对流量的识别不够准确,误杀了正常用户的流量吗?
A: 进行防护是不能区分是攻击流量还是正常访问的流量的,会一起拦截的
ddos 防护可以区分攻击流量和正常流量吗?
ddos 防护 和 高防 ip 是什么区别?
云厂商的 ddos 防护原理是什么?
非常感谢!
1
defunct9 2022-05-24 21:50:44 +08:00 via iPhone
ddos 流量清洗才能防住,只是防护有可能只是扔了黑洞
|
2
linglin0924 2022-05-24 21:55:13 +08:00
你遇到的这个攻击,icmpflood ,俗称 ping 死你。 很简单的一种洪水攻击,没什么技术含量。就是短时间内激增垃圾包,塞爆带宽,迫使你的机房对 IP 空路由,减少攻击对整体网络的攻击。
ddos 防护分好几种,硬件 软件等等,都是清洗 /过滤 无用流量包的 。 高防 IP 就是被攻击的时候不会空路由,会把路由指向清洗线路。 云厂商的防 ddos 就两种加钱,要么加带宽,要么加硬件或者切线路清洗。 你这个攻击峰值 1.8G ,如果你的服务器是 2G +带宽的,还不至于一下断网。但是大部分服务器的防御都虚标,就那回事。 |
3
eason1874 2022-05-24 22:15:20 +08:00 1
ddos 攻击就好比有人雇了一大群人去你的门店排队,排到了他随便问几句又不买了,只要人够多,不好区分的
ddos 防护原理就是清洗流量,记录恶意请求特征和 IP 给拒绝掉,剩下的才放到源服务器。ddos 防护服务以账户或者机器为维度,支持机器或者账户下所有全部流量。高防 IP 是以 IP 为维度,只支持特定 IP 的流量 其实你遇到的 icmp 洪水特征很明显,把 ping 流量过滤掉就完事 但你这个 2Gbps 应该是服务商免费提供的防护,被攻击了只会通知运营商进行黑洞处理,不会清洗的,因为清洗意味着厂商得正常接收 1.8Gbps 流量,等于说你会长期占用人家 1.8Gbps 带宽。以商业带宽的价格,你觉得可能吗? |
4
hanssx 2022-05-24 22:59:13 +08:00
之前也遇到过相关事件,但是没有解决,之前看过一本书《破坏之王》 DDoS 攻击与防范深度剖析,可以作为基础的了解。
现在 DDos 一般都反射,特别是 DNS 反射能放大很多,ICMP Flood 也是可以反射的。 防护是可以区分流量的,特别是在 ip 层路由的时候会对包进行 src dst 的过滤,很多时候也靠 isp 。 一般 DDos 发起攻击都是 botnet ,溯源的话需要找样本,可以看看《北京健康宝这个被 DDos 的事件》,360Netlab 实验室出的。 |
5
Zy143L 2022-05-25 10:59:29 +08:00 via Android
这个防御 只是保证这个 ddos 攻击量下 不封机
就是说 DDOS 攻击流量撤了 你服务器立刻就可以用 不至于说把你服务器直接黑洞 但是你要在 ddos 进行时还可以正常业务,那就需要 ddos 流量清洗服务了 在上游网关对 ddos 进行流量清洗 |
6
inSpring OP 非常感谢大家的解答。目前的理解是:如果要在遭遇 ddos 攻击的时候,还想不影响业务,就得买 ddos 流量清洗服务(比如高防 IP)。 云厂商免费提供的 ddos 防护, 可能只是在被攻击的时候,通知运营商黑洞处理(不清洗,不区分正常 /恶意流量),运营商黑洞处理后,流量就不再进入云厂商机房。
如果理解有误,求指正。 |
7
WGzeyu 2022-07-19 14:22:23 +08:00
@inSpring 我的腾讯云之前被打了很久,就经验来看,只要没被黑洞,一定是可以访问的,有时候稍微超出 2G 一点也能给扛下来
|
8
idc906 2023-08-15 15:43:25 +08:00 via iPhone
2G 的 DDOS 防护等于没有,现在哪个做攻击随便一个量打下来就是几十 G ,你这个估计是 DDOS 掺杂着 CC 攻击,CC 攻击会造成 cpu 超载,业务一样会停摆的,我是做安全的,有空可以与我交流 微 idc906
|