如何盡早地發現并抵御 DDoS 攻擊?
近半年,隨著軟硬件服務的廉價化、規模化,國內外云廠商頻繁遭受不明原因的大規模網絡攻擊,給很多網站帶來了不良的影響。其實,DDoS 攻擊這把「達摩斯之劍」一直高懸在各家互聯網公司的頭頂,雖然很多互聯網企業對 DDoS 攻擊都是深惡痛絕,不過,到目前為止,很難從技術層面進行徹底的解決,原因就在于 DDoS 其實是一種合法的「攻擊」。
什么是 DDoS 攻擊?
DDoS(Distributed Denial of Service) 也稱之為分布式拒絕服務,指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動 DDoS 攻擊,從而成倍地提高拒絕服務攻擊的威力。簡而言之,DDoS 攻擊就是通過大量合法的請求占用大量網絡資源,以達到癱瘓網絡的目的。
我們可以看看國內外有哪些比較經典的 DDoS 攻擊案例:
2013年3月創記錄的300 Gbps,Spamhaus、 CloudFlare 遭到攻擊,被評價為「差點癱瘓歐洲網絡」的攻擊事件。
2014年2月創紀錄的400 Gbps,攻擊對象為 CloudFlare 客戶,據稱當時包 括4chan、維基解密在內的78.5萬個網站安全服務受到影響。
2014年3月底, Anonymous 黑客組織發動了大規模的 DDoS 攻擊,導致該索尼公司的 PlayStationnetwork.com 網站一度無法訪問。索尼公司所稱,DDoS 攻擊過程中,索尼的 PSN 服務服務器被攻破,造成7700萬用戶數據被盜。
在2014年12月20-21日間,部署在阿里云上的某知名游戲公司,遭遇了全球互聯網史上最大的一次 DDoS 攻擊,攻擊流量峰值達每秒453.8Gb,仍是一個刷新排行榜的「巨大」數字。很多人都不知道這個數字的概念,要知道國內一些中小城市總的帶寬也不一定有 450G,也就是說,如果這么大的流量打到某個城市的 IP 上,這個城市就要斷網了。
DDoS 攻擊造成的影響和后果
也許你覺得 DDoS 攻擊都是大公司才會遭遇的問題,那你就「大錯特錯」了。現在 DDoS 攻擊成本極低,甚至已經形成了產業鏈,一些黑客明碼標價。比如,打1G 的流量到一個網站一小時,網上報價只需50塊錢。之前,國內就有一家 P2P 網貸的網站 CEO 為了打擊競爭對手,雇傭黑客發動 DDoS 攻擊,導致對方業務全線癱瘓。
我們還可以看一些權威數據,DDoS 防護服務市場領導者 Black Lotus 發布的報告顯示,全球大型服務提供商都飽受各種 DDoS 攻擊。攻擊范圍非常廣泛,涵蓋各行各業,其中64%的平臺提供商受到 DDoS 攻擊影響,66%的托管解決方案提供商和66%的 VoIP 服務提供商受到影響。
DDoS 攻擊會造成非常嚴重的影響,61%的各類型服務提供商因被攻擊而威脅到正常的商業運作,甚至造成利潤流失或者客戶隱私被竊。
來自卡巴斯基的調查分析顯示,38%的 DDoS 攻擊的受害者無力保護其核心業務免遭攻擊。攻擊也能影響信用評級以及保險費。一個單一的 DDoS 對公司的在線資源的攻擊可能會造成相當大的損失,平均的數字根據公司規模的不同,大概從52000美元到美國444000美元不等。
其實,如果僅僅是對資產造成影響還可以接受,但是很多時候,DDoS 攻擊帶來的間接影響是非常可怕的,因為很多用戶并不知情,他們只會覺得這家公司服務不好,并且會造成合作伙伴和客戶無法進行網絡訪問的情況,甚至會對公司聲譽造成致命的打擊,這是用金錢無法衡量的。
常見的 DDoS 攻擊解決方案
在云計算時代,對于任何 DDoS 攻擊而言,需要的不是防御方案,不是某一個安全設備,而是是一個快速響應的機制,一個團隊,是一個能夠做迅速做系統分析,快速做出決策的團隊。從目前來看,雖然降低 DDoS 攻擊的影響并非易事,但是我們也要主動采取措施進行避免。一般而言,我們常見的防御方案如下:
- 多域名備份;
- 每個域名的接入服務器分別部署在不同的主流云系統上,并分別使用 CDN;
- 在云之間架設隧道 VPN,服務器相互之間通過 VPN 做數據同步和心跳;
- DDoS 發生后可能短時間無法完全防御,因此要有保證最小服務的生存的意思。例如:留1-2個站點作為不對外提供服務的冗余節點,并做好保密措施
那么問題來了,如何快速分析大面積受限服務的原因呢?如何能幫助云服務廠商和客戶構筑一個快速響應機制呢?首先,我們需要確定是由于 DDoS 攻擊,還是因為設備故障。然后再想方設法幫助云平臺客戶快速響應,及時跟云服務廠商溝通,進而采取相應的備選方案。
如果是 DDoS 攻擊,及時求助云廠商過濾可疑攻擊源地址,或采用應急備份服務;如果是網絡硬件問題,云服務商就可以根據客戶反饋快速甄別是否是外部問題,這樣會極大降低客戶的損失,并且保障好公有云(IaaS)廠商的服務質量。
本文節選自OneAPM新聞如何更早地發現 DDoS 攻擊?
