作為一個世界級難題,DDoS攻擊為什么是無解的?防御成本是硬傷
在安全圈里,DDoS可謂家喻戶曉。從DDoS誕生開始,無數網絡安全工程師就對它深惡痛絕,像Google、亞馬遜等技術實力強勁的巨頭公司,也無法避免遭受DDoS攻擊。
可以這么說,DDoS是目前最強大、最難防御的攻擊之一,屬于世界級難題,沒有解決辦法,只能緩解。
我們不禁好奇,為什么DDoS攻擊是無解的?是技術水平不夠,還是其他什么原因?
無解的DDoS
DDoS的原理其實不復雜,就是利用大量肉雞,仿照真實用戶行為,使目標服務器資源消耗殆盡,最終無法為用戶提供服務。
就好像一家火鍋店來了一群地痞流氓,光占座不叫餐,導致正常顧客沒座位,點不了餐,火鍋店無法正常開店。
我們舉一個例子,就可以了解為什么DDoS無法解決。
CC攻擊是DDoS的一種類型,攻擊者會借助代理服務器生成受害主機的合法請求。
相信大家都有過這樣的經歷,當某一個網站或者app在做秒殺、限時活動、搶購活動時,訪問量突增,導致頁面打開速度變慢,如果人數超出服務器負載,頁面可能就完全打不開了。
攻擊者發動CC攻擊的結果,與上面的例子一模一樣。對于防御方來說,很難分辨誰是真實用戶,誰是攻擊者的肉雞,敵人是誰都不知道,更別說發起進攻了。
成本是硬傷
雖然無法解決DDoS攻擊,但可以采用一些技術手段,來緩解或者提高攻擊的門檻。
防御方的成本主要來自購買DDoS云清洗、高防CDN等云防護產品、采用的技術手段支出的人工成本、購買硬件設備的成本等等。
同樣,攻擊者發動DDoS攻擊,也需要付出相應的成本,比如時間成本、購買肉雞的成本、購買0day及其他漏洞的成本、編寫或購買DDoS程序的成本、甚至還可能是委托第三方發動DDoS所需要的費用等等。
防御者的防御做的越完善,所付出的成本也越高。同理,攻擊者想發動更大規模的攻擊,成本也越高。
如果攻擊者想發動攻擊的成本,高于攻擊帶來的收益,那么DDoS就不會發。反之,如果成本合適,那么攻擊者就會發動攻擊,享受攻擊帶來的收益。
緩解DDoS
DDoS攻擊雖然無解,但卻可以采用多種手段緩解和預防,或打消攻擊者發動DDoS的意圖,或使攻擊者的預計收益下降“入不敷出。”
常用的手段有以下幾種:
(1) 使用高性能網絡設備
確保路由器、交換機、硬件防火墻等網絡設備的性能,當DDoS發生時,有足夠的性能、容量去對抗它。
(2) 定期排查服務器系統漏洞
采用最新的系統,及時打上安全補丁,并在刪除未使用的服務,關閉未使用的端口,降低黑客利用漏洞發動DDoS的風險。
(3) 充足的網絡帶寬保證
網絡帶寬的大小,直接決定了抗受DDoS的能力,不過一般來說,其他技術手段和方式,比增加帶寬更有效,成本也更低。
(4) 部署CDN
CDN可以將網站的內容分發到多個服務器上,用戶就近訪問,不僅可以改善用戶體驗,而且還可以作為防御DDoS的一種補充手段。
(5) 使用專業的安全防護產品
專業的抗D產品,可以幫助網站過濾異常流量,即便DDoS正在進行中,公司的業務也可以正常開展不受影響。
后記
還是成本問題,DDoS并不一樣會發生,如果黑客有更好的手段達成癱瘓目標手段的話,就會使用更好的方式。
- 很多網站可能存在性能bug,幾個簡單的請求數據庫系統就會癱瘓;
- 很多系統會有網絡規劃、配置bug,可能幾個簡單的數據包就可以癱瘓整個網絡;
- 甚至是機房防范措施不嚴,或者存在漏洞,攻擊者直接溜進機房關閉電源,也會癱瘓公司整體業務。
能盛多少水,不取決于木桶最高的那塊板,而取決于最低的那塊板。網站、app是否安全,也是如此,我們除了要采用一些手段防御DDoS攻擊外,也應該關注其他方面的安全,做到全面防御。
