据我所知,我从未听说过或看到过像Amazon,Microsoft,Apple,Google或Ebay这样的大型网站遭受过DDoS的困扰。你有吗

我个人认为,越大越容易成为此类攻击的目标。想象一下,如果您可以关闭一个主要的网站,就会获得布朗尼积分。

但是,这些站点始终保持坚固,似乎无敌。他们实施了哪些安全措施,这些措施可以应用于较小的企业吗?

评论

我也是如此。10到15年前,许多顽固的botmaster能够通过网络进行DDoS主要站点。一个例子:theregister.co.uk/2005/12/28/ebay_bots_ddos

Google的主要DDoS保护措施是,他们拥有一个高度地理分布的系统,其带宽比除州级攻击者以外的任何人都要多。这不是小型企业可以使用的东西。

@Mark,需要进行探索。如果在虚拟机和其他设备的网络上运行虚拟机和其他设备,则会有好处。

@NewWorld很好的谷歌,这并不难找到。一个例子是PayPal(由Ebay拥有)在不久前被“匿名者” DDoSed。

或2-3年前的VISA。

#1 楼

它们通常具有非常分层的方法。这是我在大型组织中已经实现或看到的实现的一些事情。对于您对小型企业的特定问题,通常您会找一个第三方提供商来保护您。根据您的用例,这可能是云提供商,CDN,BGP路由解决方案或基于DNS的解决方案。

带宽超额预订-这个非常简单。随着您变得更大,带宽成本会下降。通常,大型组织将租用比考虑到增长和DDoS攻击所需的容量大得多的容量。如果攻击者无法召集足够的流量来压倒它,那么批量攻击通常是无效的。

自动缓解-许多工具将监视来自路由器和其他数据源的netflow数据,以确定流量的基准。如果流量模式走出这些区域,DDoS缓解工具可以使用BGP或其他机制将流量吸引到它们,并过滤掉噪音。然后,他们将干净的流量进一步传递到网络中。这些工具通常既可以检测体积攻击,也可以检测更阴险的攻击,例如慢速龙卷风。

上游黑洞-有使用路由器黑洞过滤UDP流量的方法。我见过这样的情况,企业无需向其基础结构接收UDP流量(即NTP和DNS),因此它们的传输提供商会将所有这些流量都黑洞了。那里最大的容量攻击通常反映为NTP或DNS放大攻击。

第三方提供商-甚至许多相当大的组织也担心300 Gbps的怪兽攻击。它们通常实施基于DNS的重定向服务或基于BGP的服务来保护它们,以防它们遭受持续的攻击。我想说CDN提供程序也属于这个范围,因为它们可以帮助组织在攻击过程中保持在线状态。

系统强化-您通常可以同时配置操作系统和应用程序,以更抵御应用程序层DDoS攻击。确保Linux服务器上的inode数量足以配置正确数量的Apache worker线程之类的事情,可能会使攻击者更难停止服务。

评论


优秀名单。我建议将速率限制作为一个单独的部分添加,因为它可能发生在上游/硬件,第三方和系统/应用程序层。通常,应用程序服务器(执行计算和业务规则的服务器,而不仅仅是提供文件的服务器)可以可靠地拒绝来自一小部分预先批准的客户端的请求(通过IP白名单)。

–帕特里克M
2014年11月22日4:16



经常采用的另一种方法是秘密地确定最弱的位置在哪里以及攻击可能导致实际问题的接近程度。例如,如果您正在使用CDN,则通常在其后方有一台服务器,直接攻击该服务器要比攻击CDN更有效,因此该服务器的IP保密。如果攻击者尝试进行DDoS攻击而未能引起任何可见的问题,则他可能会放弃并将僵尸网络用于其他用途。

–卡巴斯德
2014年11月24日,0:22

攻击者回来重试的可能性有多大?如果攻击者以某种方式得知他设法将系统使用率提高到90%,他可能会增加其僵尸网络并再次发起攻击。但是,如果他没有得到该信息,他可能不会再费心尝试,因为据他所知,执行攻击可能需要更多数量级的流量。

–卡巴斯德
2014年11月24日,0:25

#2 楼

虽然没有针对DDOS的真正对策,但可以通过某种方式对其进行控制。
首先是通过使用内容交付网络,该网络使用世界各地的多个数据中心为来自不同地理区域的访客提供内容。这有助于消除单点故障,并使得耗尽资源或饱和链接并平衡攻击负载变得更加困难。
另一种方法是与主要骨干网,ISP和各自的组织紧密合作,以阻止攻击者的IP。最具体的网络,以防止其流量达到目标。
希望对您有所帮助。

评论


CDN是小型企业最容易获得的解决方案。

–KnightHawk
2014年11月21日在20:11

@JosephNeathawk我不这么认为。 Facebook和Microsoft已经在使用CDN。

–山姆
2014年11月24日在8:08

我不确定您的评论是什么意思。我同意CDN是一个不错的选择,并且小型企业可以轻松使用它。 (由于价格低廉或很容易获得,因此很容易获得)大型公司使用它的事实对于仍然可以获得价格更便宜版本的小型企业没有任何改变。

–KnightHawk
2014年11月24日15:02

@JosephNeathawk抱歉!我错了:)

–山姆
2014年11月25日19:20

#3 楼

作为一家中型公司,我们使用DOS缓解服务来减少网站被下线的风险。我们的网站解析为提供商的IP地址。然后,提供商将请求转发到我们的Web服务器。我们的网络服务器仅与提供商通信。

然后,他们使用各种监视和关联工具,使用其工具来确定某些攻击是否为实际攻击。如果认为存在攻击,则提供程序不会将请求转发到我们的Web服务器并吸收攻击。为了能够执行这种缓解措施,您的能力必须超过攻击者试图提供的能力。对于通常期望更大带宽容量的大公司,我希望他们要么外包给ISP,要么创建一个内部系统来执行相同的缓解策略。

评论


例如。 Cloudflare。

–乔纳森·莱因哈特(Jonathon Reinhart)
2014年11月23日下午1:00

#4 楼

我的公司已经处理了高达180gbps的DDoS攻击,这是我用来缓解的技术。

网站的规模不仅使其成为更大的目标,而且还起着重要作用的是:


公共关系(您是营销人员吗?将自己视为不是您自己的东西,将您瞄准的人是什么)正确对待客户

DDoS攻击的动机包括但不限于以下几点:


成名(“哦,看着我,我设法把这个站点拆了”)
金钱(攻击更大的站点通常要花更多钱,他们将针对没有大型技术团队的高收入较小型企业)。
行动主义

(从其中一项评论中):


另一个动机是他们试图分散您的注意力。例如,如果他们想攻击Apache,那么您就在他们蛮横使用SSH密码的同时忙于解决此问题。

DDoS攻击有许多不同类型以及如何发起,首先您需要获取DDoS攻击。按照以上列出的顺序,您的DDoS攻击可能会减少。这并不意味着您将不再体验它们,而只是给人们更少的攻击您的动机。

在技术层面上,有很多事情要考虑,因为大多数企业的基础架构中都有多个节点。在某些情况下,每个节点都需要不同类型的方法。在我的情况下,这些节点是API,游戏服务器,身份验证服务器,数据库和社交服务器。步骤1是确保您从未公开不需要公开的IP地址。以我为例,它们是身份验证服务器,数据库和社交服务器。通常,限制故障点是一个很好的起点。保护非常昂贵,只有在您最需要的地方提供最具弹性的保护才是好。

在确定哪些点需要公开之后,可以按照需要保护每个功能的方式分别保护每个功能。 theterriblevitrium很好地回答了技术问题,这是我的2美分。



Anycast(例如CDN。这对于静态节点(例如本地API,DNS服务器和Web服务器)非常有效,它的缺点是目前在具有单点故障的系统(例如游戏服务器)上无法有效工作或z,这在我们的游戏中效果很好。缺点是,如果它们达到了带宽限制,您就不走运了。)

随时提出任何问题!

评论


另一个动机是他们试图分散您的注意力。例如,如果他们想攻击Apache,那么您就在他们蛮力破解您的SSH密码时忙于解决此问题。

– Alex W
15年4月29日在4:05

这是真的。将编辑我的评论

–Pim de Witte
18年8月18日在2:17

#5 楼

我不确定这是否就是@theterribletrivium提到的“自动缓解”功能,但是它们还使用负载平衡器将流量平均分配到单独的服务器上,以使其尽可能快地运行。

尽管这不是将用户平均分配到服务器的最有效方法,但Google使用的是轮询DNS。轮询DNS将返回多个IP地址,并且用户将连接到这些IP地址之一。但是,这样做的问题是,可以由多台计算机确定要连接到的IP地址,从而使其他服务器更快并且不使用。

它们使用类似的设置来处理大量的IP地址。存储的信息。 Google使用所谓的BigTable来存储与Google Maps,Blogger,YouTube,GMail等相关的信息。据报道,谷歌使用数十万台服务器来存储所有这些信息,并使其网站尽快运行。

他们使用软件(可能是他们自己开发的)来托管其网站,而无需使用大量的内存和CPU。这些大型网站绝对不会使用最受欢迎的Web服务器Apache,因为它无法处理如此重的负载并且受C10k问题的影响。 C10k问题导致Web服务器(例如Apache)同时故障,并且有时同时与Web服务器建立超过10,000个连接(有时Google一次可能有10,000个以上的连接)时,有时会关闭。

服务器和它们使用的硬件是最重要的。但是,根据Wikipedia在Google平台上的文章,Google并未使用性能最佳的硬件,而是使用了最物有所值的硬件。

如果您考虑一下,从技术上讲,诸如Google,Amazon,Microsoft和Apple之类的网站始终会受到DDoS攻击。但是他们拥有如此先进的技术,可以使每个人都可以访问他们的网站而不会被关闭。

评论


关于使用的硬件,我认为Google的要点是他们明确不使用顶级硬件。他们确实使用设备的顶行数代替。

– Volker Siegel
2014年11月23日20:28