甲方視角談談如何抵禦DDoS攻擊

2021-09-23 07:04:33 字數 1932 閱讀 6830

為何攻擊我們**

簡單講就是誰火滅誰,前年打p2p,去年打直播,ddos攻擊的背後多是惡性商業競爭,以不大的成本可以讓競爭對手業務中斷,造成巨大損失,價效比不可謂不高。

一般何時容易被攻擊

理解了攻擊動機後,其實很容易總結何時容易被攻擊:

新產品發布,比如羅老師發布錘子那次

大型市場活動,比如電商的雙十一和雙十二

ddos攻擊成本大嗎

攻擊型別有哪些

ddos攻擊的型別非常多,但是從甲方角度講,從結果來說就是兩種:

硬體防火牆和waf可以抵禦ddos攻擊嗎

這是個開放性的問題,需要區分不同情況(這裡的機房頻寬指的是機房給你分配的頻寬):

遺憾的事,相當一部分ddos攻擊輕鬆上幾十g,使用者購買的出口頻寬上1g的都不多。可見,面對現實中的ddos攻擊時,本地的硬體防火牆和waf作用有限。

常見的抗d手段有哪些?

從甲方角度講,可以按照抗d裝置/服務部署的位置分為:

自購帶有抗d抗cc功能的硬體防火牆或者waf

機房的流量清洗服務,比如高防機房

雲安全廠商的雲抗d服務(cdn廠商提供的流量清洗服務也算這種情況)

運營商(比如電信雲堤)的流量清洗服務

近源清洗是啥原理

雲抗d是啥原理

雲抗d服務和cdn接入原理類似,使用的是所謂替身防護的技術。使用者在dns伺服器上將需要保護的web服務的網域名稱指向雲抗d中心提供的高防ip或者cname網域名稱,雲抗d中心將訪問該web服務的請求再**給使用者的業務伺服器,相當於充當了乙個nginx反向**,針對該web服務的攻擊會被雲抗d中心清洗,正常的使用者請求才會**給使用者的業務伺服器。

使用雲抗d黑客直接打ip咋辦

問題也就來了,黑客如果直接攻擊使用者業務伺服器的ip,就會繞過雲抗d中心。為了防止這種情況出現,最簡單的解決方案是,使用者的業務伺服器提供兩個ip,ip1是平時使用的,對外暴露,ip2平時不使用,同時限制ip2僅允許雲抗d中心的ip段訪問,一旦切入雲抗d中心後,聯絡機房拉黑ip1,同時啟用ip2即可,通常ip1和ip2可以指向同一伺服器或者負載均衡。

使用雲抗d後如何獲取客戶端真實ip

這個和使用cdn情況類似,比較常見的解決方案是在http協議層攜帶客戶端的ip,比如x-forwarded-for欄位。

三線與bgp抗d的區別

在國內現實的問題跨網訪問的巨大延時,為了解決這個問題,通常有兩種簡單辦法,乙個是申請聯通電信移動三網的ip資源,乙個是使用相對昂貴的bgp資源。對應的抗d雲服務也提供了三線和bgp服務,本質上區別就是乙個需要做分割槽解析,乙個不用,**上一般bgp高防會貴些,從跨網訪問來看兩者都不錯。

常見的雲抗d廠商有哪些

甲方和乙方如何區分

甲方與乙方,在很多人都存在有誤解,不知道究竟如何辨別。這裡我提一些簡單的辨別方式 甲方 一般是指提出目標的一方,在合同擬訂過程中主要是提出要實現什麼目標 乙方 一般是指完成目標,在合同中主要是提出如何保證實現,並根據完成情況獲取收益的一方。在合同過程中,甲方主要是監督乙方是否完全按照要求提供自身需求...

大資料如何改變安全視角

文章講的是大資料如何改變安全視角,在今天這場it變革中,正如英特爾中國研究院首席工程師吳甘沙在2013年全球大資料技術峰會上所提出的那樣,大資料是本,雲計算是術,物聯網和移動網際網路是用。大資料讓舊有it和業務運營模式發生極大變化,它也同樣影響著資訊保安的未來走向。今年在美國rsa大會上,rsa執行...

產品經理如何開啟上帝視角?

昨天一位訂閱使用者發來私信說讀了 在做了n年產品後,我悟出了這乙個道理 一文,能否分享幾本你看過並且值得推薦的相關的書?我猜這位朋友是想找書單,又僅僅是書單,更準確的說是想如何 得到 做產品所需要的 大視野 於是我回覆說具體的書目並不重要,因為每一本書都是集中於具體某一領域的,而做產品是需要大視野的...