a*f 发帖数: 1790 | 1 只能靠防火墙软件吗?
在web应用系统里面能做什么样的措施?
也许我回答得不够好,上来问问 |
a9 发帖数: 21638 | 2 网络攻击有好多种,具体情况要具体分析
【在 a*f 的大作中提到】 : 只能靠防火墙软件吗? : 在web应用系统里面能做什么样的措施? : 也许我回答得不够好,上来问问
|
a*f 发帖数: 1790 | 3 提问人没说具体的方式,一般应该是指DDoS吧,我猜测关键怎么把攻击和正常的用户使
用分出来,然后把攻击的地址短时间拒绝掉申请。我提到比如分析http请求应答多次异
常中断,文件异常中断,零字节文件发送,mimetype异常,字典或者键盘pattern密码
登录失败,密码陷阱,短时间过多请求,不知道还有什么要注意的。
【在 a9 的大作中提到】 : 网络攻击有好多种,具体情况要具体分析
|
j******o 发帖数: 4219 | 4 DDOS很难防,估计只能增加每个请求之间的时间间隔 |
e***m 发帖数: 92 | 5 防火墙只能根据网络层的特征(比如端口,IP,TCP conn 频率等)做防范。在Web应用层
,可以利用应用层的信息做进一步的防范,例如,应用层可能知道用户的ID是不是伪造
的,要求的操作是不是和以前该用户的pattern很不一样。
【在 a*f 的大作中提到】 : 提问人没说具体的方式,一般应该是指DDoS吧,我猜测关键怎么把攻击和正常的用户使 : 用分出来,然后把攻击的地址短时间拒绝掉申请。我提到比如分析http请求应答多次异 : 常中断,文件异常中断,零字节文件发送,mimetype异常,字典或者键盘pattern密码 : 登录失败,密码陷阱,短时间过多请求,不知道还有什么要注意的。
|
a*f 发帖数: 1790 | 6 一般怎么通过pattern来check forged id?有什么guideline吗?把每次访问的id和
locality ip连起来,如果短时间跨地区访问访问就锁住?
【在 e***m 的大作中提到】 : 防火墙只能根据网络层的特征(比如端口,IP,TCP conn 频率等)做防范。在Web应用层 : ,可以利用应用层的信息做进一步的防范,例如,应用层可能知道用户的ID是不是伪造 : 的,要求的操作是不是和以前该用户的pattern很不一样。
|
g*****g 发帖数: 34805 | 7 应用层常见的,用captura做login,确保攻击的是人,其他的只不过获得一个cached的
login页面,负荷小。把login服务单独出来,这样收攻击的时候只需要scale up这个应
用。用户一旦login,就不受攻击影响。 |
w**z 发帖数: 8232 | 8 我们是在Detecte Ddos 后,把traffic route 到 commercial ddos mitigation
vendor. response 会有delay, 还要付费。但自己搞,太费功夫,也不是specialty.
花钱能搞定的就不是大问题。
这是我们选的vendor
http://www.prolexic.com/
【在 a*f 的大作中提到】 : 只能靠防火墙软件吗? : 在web应用系统里面能做什么样的措施? : 也许我回答得不够好,上来问问
|
a9 发帖数: 21638 | 9 攻击你的ip的话就没用了吧?
.
【在 w**z 的大作中提到】 : 我们是在Detecte Ddos 后,把traffic route 到 commercial ddos mitigation : vendor. response 会有delay, 还要付费。但自己搞,太费功夫,也不是specialty. : 花钱能搞定的就不是大问题。 : 这是我们选的vendor : http://www.prolexic.com/
|
w**z 发帖数: 8232 | 10 DC 里的机器, 没有public ip, 都是通过DNS, Loadbalancer 进来的。
【在 a9 的大作中提到】 : 攻击你的ip的话就没用了吧? : : .
|
|
|
S*A 发帖数: 7142 | 11 你这个假定是敌人攻击用的是 valid 的用户和密码。
这个实际上很难发生。因为 valid 的用户和密码是挺有价值的东西,
不会在攻击的时候白白浪费掉。而且攻击者需要使用大量的用户和密码
信息,如果仅仅是一两个用户很容易被 ban 掉。
如果人家攻击的时候不需要用户和密码信息,通常会是这样,
captura 就完全没有用。简单粗暴攻击你的 DNS 服务器,或者就是
login page,可以想的歪点子很多。
【在 g*****g 的大作中提到】 : 应用层常见的,用captura做login,确保攻击的是人,其他的只不过获得一个cached的 : login页面,负荷小。把login服务单独出来,这样收攻击的时候只需要scale up这个应 : 用。用户一旦login,就不受攻击影响。
|
S*A 发帖数: 7142 | 12 攻击就是消耗你的资源让其碰到瓶颈,不能正常服务。
很多攻击本身就是没有用的信息。区分攻击和正常用户没有用。
例如,假设你的 DC 数据入口是 1G/s,人家填 1G/s 的垃圾进来,
就算你很快知道什么是没有用的数据,仍然不能阻止垃圾堵了你上游
的入口,其他的用户进不来。
【在 a*f 的大作中提到】 : 提问人没说具体的方式,一般应该是指DDoS吧,我猜测关键怎么把攻击和正常的用户使 : 用分出来,然后把攻击的地址短时间拒绝掉申请。我提到比如分析http请求应答多次异 : 常中断,文件异常中断,零字节文件发送,mimetype异常,字典或者键盘pattern密码 : 登录失败,密码陷阱,短时间过多请求,不知道还有什么要注意的。
|
g*****g 发帖数: 34805 | 13 不,我这是两者都防范。DDOS攻击并不是非要很多用户,单用户长数据输入攻击是很常
见的。
【在 S*A 的大作中提到】 : 你这个假定是敌人攻击用的是 valid 的用户和密码。 : 这个实际上很难发生。因为 valid 的用户和密码是挺有价值的东西, : 不会在攻击的时候白白浪费掉。而且攻击者需要使用大量的用户和密码 : 信息,如果仅仅是一两个用户很容易被 ban 掉。 : 如果人家攻击的时候不需要用户和密码信息,通常会是这样, : captura 就完全没有用。简单粗暴攻击你的 DNS 服务器,或者就是 : login page,可以想的歪点子很多。
|
S*A 发帖数: 7142 | 14 大规模的网络攻击就使用单用户登陆?
把那个用户临时加个 capturea 就挡住了攻击,那些敌人用得
起那末多 botnet 也不会换个简单粗暴方法来攻击? 那敌人也太不给力了。
DDOS 真正难防的是那些简单粗暴的攻击。
【在 g*****g 的大作中提到】 : 不,我这是两者都防范。DDOS攻击并不是非要很多用户,单用户长数据输入攻击是很常 : 见的。
|
g*****g 发帖数: 34805 | 15 有的攻击就是给你一个巨大的payload,server一旦没有合适的validation就挂了。最
近的一个影响广泛的security bug就是如此。一个机器挂了,换个节点再挂,用不了几
个账户就可以把整个服务弄当了。别忘了公共服务,没captura还可以自动生成新账户。
做security就是不能make assumption,所有的可能都要考虑,这方面经验你比我还是
差多了。
【在 S*A 的大作中提到】 : 大规模的网络攻击就使用单用户登陆? : 把那个用户临时加个 capturea 就挡住了攻击,那些敌人用得 : 起那末多 botnet 也不会换个简单粗暴方法来攻击? 那敌人也太不给力了。 : DDOS 真正难防的是那些简单粗暴的攻击。
|
S*A 发帖数: 7142 | 16 你说的这个不是 DDOS attack,就是普通的 remote exploit。
而且如果你的服务有 remote exploit, 你的方案是用 captura
validation 去挡。这个方法很高明。赞。
没有挑战你的网络安全权威的意思。
户。
【在 g*****g 的大作中提到】 : 有的攻击就是给你一个巨大的payload,server一旦没有合适的validation就挂了。最 : 近的一个影响广泛的security bug就是如此。一个机器挂了,换个节点再挂,用不了几 : 个账户就可以把整个服务弄当了。别忘了公共服务,没captura还可以自动生成新账户。 : 做security就是不能make assumption,所有的可能都要考虑,这方面经验你比我还是 : 差多了。
|
S*A 发帖数: 7142 | 17 你这个听起来 make sense。但是我还是有个地方不明白,
虚心请教大侠。
http://www.prolexic.com/ 在抵挡了 DDos 以后,还是要把
服务交给你门的服务器完成的吧。难道你们的服务放在和
prolexic 一起的机房一起使用内部 IP? 这个 prolexic 看起来
是分布式的,如果你的服务器不是和全部的 prolexic 一个机
房,那 prolexic 不是需要通过一个外部 IP 把不是 DDOS
攻击的真实服务服务 forward 给你们吗? 这个外部 IP 是如
何避免的?
【在 w**z 的大作中提到】 : DC 里的机器, 没有public ip, 都是通过DNS, Loadbalancer 进来的。
|
a9 发帖数: 21638 | 18 没有public ip?
人家要攻击就攻击你的"Loadbalancer"的ip啊。
【在 w**z 的大作中提到】 : DC 里的机器, 没有public ip, 都是通过DNS, Loadbalancer 进来的。
|
S*A 发帖数: 7142 | 19 对啊,我好奇的也是这个。假设那个 DDos 防御商提供了第一层
的 DNS 和 IP。 那真实的服务还是要用 public ip forward 给
Loadbalancer 这些的。除非有专线连接那个 DDos 防御商和
Loadbalancer 。
可以做 ip filtering 只听从防御商来的 IP, 但是还是挡不住
人家往 public IP 上灌垃圾流量占用掉外部带宽。
【在 a9 的大作中提到】 : 没有public ip? : 人家要攻击就攻击你的"Loadbalancer"的ip啊。
|
w**z 发帖数: 8232 | 20 我不是具体做这块的,细节不是很了解。下周去问一下管network 的,再来报告 。
【在 S*A 的大作中提到】 : 对啊,我好奇的也是这个。假设那个 DDos 防御商提供了第一层 : 的 DNS 和 IP。 那真实的服务还是要用 public ip forward 给 : Loadbalancer 这些的。除非有专线连接那个 DDos 防御商和 : Loadbalancer 。 : 可以做 ip filtering 只听从防御商来的 IP, 但是还是挡不住 : 人家往 public IP 上灌垃圾流量占用掉外部带宽。
|
|
|
a*f 发帖数: 1790 | 21 码工的问题感觉应该不会走到网工那么远。大侠考虑一下这个方案可行不:如果正常用
户登陆过网站,把IP地址存起来;如果应用系统看见IP是第一次访问,先redirect到一
个临时服务器,延迟1-2秒再转回来,如果DoS攻击临时服务器超载,这时候需要网工在
网络层来处理,在网络层把来自攻击源的packet drop掉,如果攻击源很多是大规模的
DDoS看网络设置上面有没有更好的办法,但是临时服务器crash不影响正常服务器和老
用户的使用;另外在正常的网站上面设置一些陷阱,比如有人试图字典登录或者收集用
户名或者多次尝试非法URL地址,然后把这些用户的IP地址转入可疑用户提醒管理人员?
【在 w**z 的大作中提到】 : 我不是具体做这块的,细节不是很了解。下周去问一下管network 的,再来报告 。
|
a9 发帖数: 21638 | 22 这些都是应用层最基本的做法了。
网络层如果大规模的ddos来了,没什么好办法,只有用大带宽抗。
至于你的dc给不给抗就不好说了。
员?
【在 a*f 的大作中提到】 : 码工的问题感觉应该不会走到网工那么远。大侠考虑一下这个方案可行不:如果正常用 : 户登陆过网站,把IP地址存起来;如果应用系统看见IP是第一次访问,先redirect到一 : 个临时服务器,延迟1-2秒再转回来,如果DoS攻击临时服务器超载,这时候需要网工在 : 网络层来处理,在网络层把来自攻击源的packet drop掉,如果攻击源很多是大规模的 : DDoS看网络设置上面有没有更好的办法,但是临时服务器crash不影响正常服务器和老 : 用户的使用;另外在正常的网站上面设置一些陷阱,比如有人试图字典登录或者收集用 : 户名或者多次尝试非法URL地址,然后把这些用户的IP地址转入可疑用户提醒管理人员?
|
i**p 发帖数: 902 | 23 几年以前用过telnet和get访问网站, 最近发现很多网站没法这么用了, 给回个无效防
问. http server是不是加了什么保护?
如果不保护的话, 做一个无限循环去telnet这个IP应该也是一种攻击. |
a*f 发帖数: 1790 | 24 只能靠防火墙软件吗?
在web应用系统里面能做什么样的措施?
也许我回答得不够好,上来问问 |
a9 发帖数: 21638 | 25 网络攻击有好多种,具体情况要具体分析
【在 a*f 的大作中提到】 : 只能靠防火墙软件吗? : 在web应用系统里面能做什么样的措施? : 也许我回答得不够好,上来问问
|
a*f 发帖数: 1790 | 26 提问人没说具体的方式,一般应该是指DDoS吧,我猜测关键怎么把攻击和正常的用户使
用分出来,然后把攻击的地址短时间拒绝掉申请。我提到比如分析http请求应答多次异
常中断,文件异常中断,零字节文件发送,mimetype异常,字典或者键盘pattern密码
登录失败,密码陷阱,短时间过多请求,不知道还有什么要注意的。
【在 a9 的大作中提到】 : 网络攻击有好多种,具体情况要具体分析
|
j******o 发帖数: 4219 | 27 DDOS很难防,估计只能增加每个请求之间的时间间隔 |
e***m 发帖数: 92 | 28 防火墙只能根据网络层的特征(比如端口,IP,TCP conn 频率等)做防范。在Web应用层
,可以利用应用层的信息做进一步的防范,例如,应用层可能知道用户的ID是不是伪造
的,要求的操作是不是和以前该用户的pattern很不一样。
【在 a*f 的大作中提到】 : 提问人没说具体的方式,一般应该是指DDoS吧,我猜测关键怎么把攻击和正常的用户使 : 用分出来,然后把攻击的地址短时间拒绝掉申请。我提到比如分析http请求应答多次异 : 常中断,文件异常中断,零字节文件发送,mimetype异常,字典或者键盘pattern密码 : 登录失败,密码陷阱,短时间过多请求,不知道还有什么要注意的。
|
a*f 发帖数: 1790 | 29 一般怎么通过pattern来check forged id?有什么guideline吗?把每次访问的id和
locality ip连起来,如果短时间跨地区访问访问就锁住?
【在 e***m 的大作中提到】 : 防火墙只能根据网络层的特征(比如端口,IP,TCP conn 频率等)做防范。在Web应用层 : ,可以利用应用层的信息做进一步的防范,例如,应用层可能知道用户的ID是不是伪造 : 的,要求的操作是不是和以前该用户的pattern很不一样。
|
g*****g 发帖数: 34805 | 30 应用层常见的,用captura做login,确保攻击的是人,其他的只不过获得一个cached的
login页面,负荷小。把login服务单独出来,这样收攻击的时候只需要scale up这个应
用。用户一旦login,就不受攻击影响。 |
|
|
w**z 发帖数: 8232 | 31 我们是在Detecte Ddos 后,把traffic route 到 commercial ddos mitigation
vendor. response 会有delay, 还要付费。但自己搞,太费功夫,也不是specialty.
花钱能搞定的就不是大问题。
这是我们选的vendor
http://www.prolexic.com/
【在 a*f 的大作中提到】 : 只能靠防火墙软件吗? : 在web应用系统里面能做什么样的措施? : 也许我回答得不够好,上来问问
|
a9 发帖数: 21638 | 32 攻击你的ip的话就没用了吧?
.
【在 w**z 的大作中提到】 : 我们是在Detecte Ddos 后,把traffic route 到 commercial ddos mitigation : vendor. response 会有delay, 还要付费。但自己搞,太费功夫,也不是specialty. : 花钱能搞定的就不是大问题。 : 这是我们选的vendor : http://www.prolexic.com/
|
w**z 发帖数: 8232 | 33 DC 里的机器, 没有public ip, 都是通过DNS, Loadbalancer 进来的。
【在 a9 的大作中提到】 : 攻击你的ip的话就没用了吧? : : .
|
S*A 发帖数: 7142 | 34 你这个假定是敌人攻击用的是 valid 的用户和密码。
这个实际上很难发生。因为 valid 的用户和密码是挺有价值的东西,
不会在攻击的时候白白浪费掉。而且攻击者需要使用大量的用户和密码
信息,如果仅仅是一两个用户很容易被 ban 掉。
如果人家攻击的时候不需要用户和密码信息,通常会是这样,
captura 就完全没有用。简单粗暴攻击你的 DNS 服务器,或者就是
login page,可以想的歪点子很多。
【在 g*****g 的大作中提到】 : 应用层常见的,用captura做login,确保攻击的是人,其他的只不过获得一个cached的 : login页面,负荷小。把login服务单独出来,这样收攻击的时候只需要scale up这个应 : 用。用户一旦login,就不受攻击影响。
|
S*A 发帖数: 7142 | 35 攻击就是消耗你的资源让其碰到瓶颈,不能正常服务。
很多攻击本身就是没有用的信息。区分攻击和正常用户没有用。
例如,假设你的 DC 数据入口是 1G/s,人家填 1G/s 的垃圾进来,
就算你很快知道什么是没有用的数据,仍然不能阻止垃圾堵了你上游
的入口,其他的用户进不来。
【在 a*f 的大作中提到】 : 提问人没说具体的方式,一般应该是指DDoS吧,我猜测关键怎么把攻击和正常的用户使 : 用分出来,然后把攻击的地址短时间拒绝掉申请。我提到比如分析http请求应答多次异 : 常中断,文件异常中断,零字节文件发送,mimetype异常,字典或者键盘pattern密码 : 登录失败,密码陷阱,短时间过多请求,不知道还有什么要注意的。
|
g*****g 发帖数: 34805 | 36 不,我这是两者都防范。DDOS攻击并不是非要很多用户,单用户长数据输入攻击是很常
见的。
【在 S*A 的大作中提到】 : 你这个假定是敌人攻击用的是 valid 的用户和密码。 : 这个实际上很难发生。因为 valid 的用户和密码是挺有价值的东西, : 不会在攻击的时候白白浪费掉。而且攻击者需要使用大量的用户和密码 : 信息,如果仅仅是一两个用户很容易被 ban 掉。 : 如果人家攻击的时候不需要用户和密码信息,通常会是这样, : captura 就完全没有用。简单粗暴攻击你的 DNS 服务器,或者就是 : login page,可以想的歪点子很多。
|
S*A 发帖数: 7142 | 37 大规模的网络攻击就使用单用户登陆?
把那个用户临时加个 capturea 就挡住了攻击,那些敌人用得
起那末多 botnet 也不会换个简单粗暴方法来攻击? 那敌人也太不给力了。
DDOS 真正难防的是那些简单粗暴的攻击。
【在 g*****g 的大作中提到】 : 不,我这是两者都防范。DDOS攻击并不是非要很多用户,单用户长数据输入攻击是很常 : 见的。
|
g*****g 发帖数: 34805 | 38 有的攻击就是给你一个巨大的payload,server一旦没有合适的validation就挂了。最
近的一个影响广泛的security bug就是如此。一个机器挂了,换个节点再挂,用不了几
个账户就可以把整个服务弄当了。别忘了公共服务,没captura还可以自动生成新账户。
做security就是不能make assumption,所有的可能都要考虑,这方面经验你比我还是
差多了。
【在 S*A 的大作中提到】 : 大规模的网络攻击就使用单用户登陆? : 把那个用户临时加个 capturea 就挡住了攻击,那些敌人用得 : 起那末多 botnet 也不会换个简单粗暴方法来攻击? 那敌人也太不给力了。 : DDOS 真正难防的是那些简单粗暴的攻击。
|
S*A 发帖数: 7142 | 39 你说的这个不是 DDOS attack,就是普通的 remote exploit。
而且如果你的服务有 remote exploit, 你的方案是用 captura
validation 去挡。这个方法很高明。赞。
没有挑战你的网络安全权威的意思。
户。
【在 g*****g 的大作中提到】 : 有的攻击就是给你一个巨大的payload,server一旦没有合适的validation就挂了。最 : 近的一个影响广泛的security bug就是如此。一个机器挂了,换个节点再挂,用不了几 : 个账户就可以把整个服务弄当了。别忘了公共服务,没captura还可以自动生成新账户。 : 做security就是不能make assumption,所有的可能都要考虑,这方面经验你比我还是 : 差多了。
|
S*A 发帖数: 7142 | 40 你这个听起来 make sense。但是我还是有个地方不明白,
虚心请教大侠。
http://www.prolexic.com/ 在抵挡了 DDos 以后,还是要把
服务交给你门的服务器完成的吧。难道你们的服务放在和
prolexic 一起的机房一起使用内部 IP? 这个 prolexic 看起来
是分布式的,如果你的服务器不是和全部的 prolexic 一个机
房,那 prolexic 不是需要通过一个外部 IP 把不是 DDOS
攻击的真实服务服务 forward 给你们吗? 这个外部 IP 是如
何避免的?
【在 w**z 的大作中提到】 : DC 里的机器, 没有public ip, 都是通过DNS, Loadbalancer 进来的。
|
|
|
a9 发帖数: 21638 | 41 没有public ip?
人家要攻击就攻击你的"Loadbalancer"的ip啊。
【在 w**z 的大作中提到】 : DC 里的机器, 没有public ip, 都是通过DNS, Loadbalancer 进来的。
|
S*A 发帖数: 7142 | 42 对啊,我好奇的也是这个。假设那个 DDos 防御商提供了第一层
的 DNS 和 IP。 那真实的服务还是要用 public ip forward 给
Loadbalancer 这些的。除非有专线连接那个 DDos 防御商和
Loadbalancer 。
可以做 ip filtering 只听从防御商来的 IP, 但是还是挡不住
人家往 public IP 上灌垃圾流量占用掉外部带宽。
【在 a9 的大作中提到】 : 没有public ip? : 人家要攻击就攻击你的"Loadbalancer"的ip啊。
|
w**z 发帖数: 8232 | 43 我不是具体做这块的,细节不是很了解。下周去问一下管network 的,再来报告 。
【在 S*A 的大作中提到】 : 对啊,我好奇的也是这个。假设那个 DDos 防御商提供了第一层 : 的 DNS 和 IP。 那真实的服务还是要用 public ip forward 给 : Loadbalancer 这些的。除非有专线连接那个 DDos 防御商和 : Loadbalancer 。 : 可以做 ip filtering 只听从防御商来的 IP, 但是还是挡不住 : 人家往 public IP 上灌垃圾流量占用掉外部带宽。
|
a*f 发帖数: 1790 | 44 码工的问题感觉应该不会走到网工那么远。大侠考虑一下这个方案可行不:如果正常用
户登陆过网站,把IP地址存起来;如果应用系统看见IP是第一次访问,先redirect到一
个临时服务器,延迟1-2秒再转回来,如果DoS攻击临时服务器超载,这时候需要网工在
网络层来处理,在网络层把来自攻击源的packet drop掉,如果攻击源很多是大规模的
DDoS看网络设置上面有没有更好的办法,但是临时服务器crash不影响正常服务器和老
用户的使用;另外在正常的网站上面设置一些陷阱,比如有人试图字典登录或者收集用
户名或者多次尝试非法URL地址,然后把这些用户的IP地址转入可疑用户提醒管理人员?
【在 w**z 的大作中提到】 : 我不是具体做这块的,细节不是很了解。下周去问一下管network 的,再来报告 。
|
a9 发帖数: 21638 | 45 这些都是应用层最基本的做法了。
网络层如果大规模的ddos来了,没什么好办法,只有用大带宽抗。
至于你的dc给不给抗就不好说了。
员?
【在 a*f 的大作中提到】 : 码工的问题感觉应该不会走到网工那么远。大侠考虑一下这个方案可行不:如果正常用 : 户登陆过网站,把IP地址存起来;如果应用系统看见IP是第一次访问,先redirect到一 : 个临时服务器,延迟1-2秒再转回来,如果DoS攻击临时服务器超载,这时候需要网工在 : 网络层来处理,在网络层把来自攻击源的packet drop掉,如果攻击源很多是大规模的 : DDoS看网络设置上面有没有更好的办法,但是临时服务器crash不影响正常服务器和老 : 用户的使用;另外在正常的网站上面设置一些陷阱,比如有人试图字典登录或者收集用 : 户名或者多次尝试非法URL地址,然后把这些用户的IP地址转入可疑用户提醒管理人员?
|
i**p 发帖数: 902 | 46 几年以前用过telnet和get访问网站, 最近发现很多网站没法这么用了, 给回个无效防
问. http server是不是加了什么保护?
如果不保护的话, 做一个无限循环去telnet这个IP应该也是一种攻击. |
w**z 发帖数: 8232 | 47 问了下,基本是这样的,当ddos detect 到之后,会把traffic route 到vendor 那,
vendor filter 之后再route 到自己的DC, 有条件的话,可以拉专线,或者vpn。 如
果通过公网, 可以比弄一个平时不用的ip, 让vendor 把traffic route 到那个IP,
attacker 就没法直接攻击我们。
但归根结底,是比谁带宽大, 如果attacker 的带宽超过vendor 的带宽, 那也挡不住
的。
【在 w**z 的大作中提到】 : 我不是具体做这块的,细节不是很了解。下周去问一下管network 的,再来报告 。
|
b****y 发帖数: 169 | 48 Prolexic现在是Akamai的一部分。
Akamai是全球第一大CDN。全球几十万台边缘节点,近百T的网络容量。
足以吸收大部分的DDos攻击。
经他过滤的认定的正常请求就通过IP或者是某个域名转发给客户源站就好了。
这个源站的IP或域名攻击者一般不会知道。
【在 S*A 的大作中提到】 : 对啊,我好奇的也是这个。假设那个 DDos 防御商提供了第一层 : 的 DNS 和 IP。 那真实的服务还是要用 public ip forward 给 : Loadbalancer 这些的。除非有专线连接那个 DDos 防御商和 : Loadbalancer 。 : 可以做 ip filtering 只听从防御商来的 IP, 但是还是挡不住 : 人家往 public IP 上灌垃圾流量占用掉外部带宽。
|
b****y 发帖数: 169 | 49 Prolexic现在是Akamai的一部分。
Akamai是全球第一大CDN。全球几十万台边缘节点,近百T的网络容量。
足以吸收大部分的DDos攻击。
经他过滤的认定的正常请求就通过IP或者是某个域名转发给客户源站就好了。
这个源站的IP或域名攻击者一般不会知道。
【在 S*A 的大作中提到】 : 对啊,我好奇的也是这个。假设那个 DDos 防御商提供了第一层 : 的 DNS 和 IP。 那真实的服务还是要用 public ip forward 给 : Loadbalancer 这些的。除非有专线连接那个 DDos 防御商和 : Loadbalancer 。 : 可以做 ip filtering 只听从防御商来的 IP, 但是还是挡不住 : 人家往 public IP 上灌垃圾流量占用掉外部带宽。
|
w***g 发帖数: 5958 | 50 上次针对香港民间公投服务器的DNS DDOS攻击就是一个很好的案例。最后AWS都扛不住
了,只有cloudflare愿意继续提供服务。Cloudflare记录的流量达到75Gb/s。太牛B了。
简直就是战争。
【在 b****y 的大作中提到】 : Prolexic现在是Akamai的一部分。 : Akamai是全球第一大CDN。全球几十万台边缘节点,近百T的网络容量。 : 足以吸收大部分的DDos攻击。 : 经他过滤的认定的正常请求就通过IP或者是某个域名转发给客户源站就好了。 : 这个源站的IP或域名攻击者一般不会知道。
|
|
|
S*A 发帖数: 7142 | 51 对啊。这个和我的理解一样。
还是有外部ip,只不过假设敌人不容易
找到这个外部ip。
【在 b****y 的大作中提到】 : Prolexic现在是Akamai的一部分。 : Akamai是全球第一大CDN。全球几十万台边缘节点,近百T的网络容量。 : 足以吸收大部分的DDos攻击。 : 经他过滤的认定的正常请求就通过IP或者是某个域名转发给客户源站就好了。 : 这个源站的IP或域名攻击者一般不会知道。
|