【安全狗SRC】抗D设备哪家强？你来！大佬告诉你答案

上周，安全狗SRC联合SRC部落，携手推出了爆款话题： 传统抗D设备 vs 新兴CDN抗D：抗D效果哪一个好？ 一经发布简直好评如潮，热评无数，四方雷动（？） 原帖在此，错过的吃瓜表哥们能够再围观一下~ https://bbs.ichunqiu.com/thread-21821-1-1.html 懒癌晚期的表哥若是不想一一浏览，小编特别汇总了一下诸位大佬的优质回复， 而且邀请了xiaoye大佬对下面的汇总作了一下独具匠心（？）的技术点评。 表哥们快来围观一下这些技术含量多汁到滴水的精彩发言，顺便提高一下对DDoS的总体认知吧！ 帐号153XXX39703的大佬，从安全狗用户的角度解读了ddos。这位大佬最近遇到了“经过千万台肉鸡同时对目标进行访问形成目标带宽瞬间跑满宕机，直接影响公司业务“的问题，而且总结了防护ddos的方式： 防DDOS无非如下几种办法：      1. 增长带宽硬抗      2. 接入第三方高防/流量清洗      3. 下线服务,     第一种增长带宽硬抗对于大流量的攻击来讲这种方法并不可取，缘由么一是太烧钱啦,若是服务器性能不行带宽还没加服务器就能够挂了。再来看第二种也是如今比较多的方法，接入第三方高防或者流量清洗系统，以国内云厂商为例，先说下阿里云默认抗5G，有钱的话能够继续加，对小打小闹的攻击者来讲能够防了，若是是针对性的仍是建议接入流量清洗，高防的价钱实在太贵不建议每月购买，若是长期受DDOS困扰能够考虑市面上的几家流量清洗，仍是推荐你们用比较知名的厂商好比腾讯的大禹，蓝讯（价格比较贵）。不是很建议小厂商的虽然价格比较便宜，可是也据说过中止续费后恶意攻击的事件，少一点套路多一点真诚。。。第三种方法能够对非重要业务执行，因业务而异。     若是什么都没接入的状况下受到了攻击，这里简单的讲述一下措施（以云主机为列）。     短信收到攻击报警，提示流量超过防护范围。     收到这种短信是人看了都会一抖，特别是业务高峰的时候。云主机厂商为了保护自家的其余用户超过阈值会直接切断你的ip,此时页面就会一片白。     紧急操做，通知相关负责人，替换新IP。     购买新的IP，而后在域名厂商处马上替换，等待生效，查看生效通常用到如下命令,ping,dig     ping就很少说了,绑定好之后开一个终端ping着就能够了,     dig命令能够查看新的域名ip有没有生效，碰到业务有CDN的能够看是否回源完成（通常5-15分钟）。 这里要讲下为什么用了CDN仍是被打到了源站IP，仍是那句话攻击前的踩点很重要，经过ping,站长之家等各类手段能够查看到被攻击的站是否用了CDN甚至是哪一家CDN 。经过尝试ping一级域名泛解析尝试是否能够ping通，经过github上寻找是否有源站IP记录等等，只要有配置不当的地方找到源站IP仍是很简单的，对于大流量的攻击拒绝服务也就是秒秒钟的事了。 总结的都是企业常见的一些防护手段，很不错哦~ 而下一位，xiaoye大佬也小试牛刀，分享了一波经验： ddos是分布式拒绝服务攻击，单纯的dos攻击其实很容易防范，通常作的规则是对ip的频率数据包量等进行控制，这个在waf或者iptables里都是常见的规则，很容易防范：扫带waf的网站是常常被“拉黑”就是对ip的频率作出的限制；p.s:iptables绝对是异常强大的访问控制工具，用好了事半功倍，甚至堪比硬件防火墙（这句话不是我说的。。不知道真假欸） 咱们假象，若是咱们有不少代理ip，而后在扫描的过程当中不停切换ip，这样是否是就绕过了频率的限制了呢，对，就是这样： 单纯的扫描能够比做dos攻击，而切换代理ip就能够比做ddos，“分布式”拒绝服务攻击，由于他拥有多个看似正常的ip来进行看似正常的操做，然而，当许多个ip，或者说成千上万的主机，一块儿对目标进行攻击，也将会形成巨大的伤害 分布式拒绝服务攻击之因此难以防范，是由于攻击来自于大量的看似正常访问的非正常主机，可是对于服务器而言，每一台发包的主机都是一个合法的用户，由于web server就是用来给人访问的，从这个层面上讲，每个"攻击者"彷佛都是合法的！完全根治ddos，势必会影响到正常访问的用户，而这是站长或者厂商最不肯意看到的：没有用户pv，网站靠什么运营？另外网上那些误封率0的宣传，我是不信的。。 对ddos的防范一直是块短板，有钱的去流量清洗，没钱有底子的本身去作反向代理加负载均衡，也能抗一波流量，waf之类的防御软件也已经具有了基本的防御功能 ddos有不少种类，smurf 、tcp syn flood、udp flood、icmp flood等等等等，创建全面且准确的防护规则，是waf厂商的一大任务以及机遇 如今时代不一样了，cdn的出现无疑是一大福音，不容易直接获取真实ip，多节点也能够抵御ddos。（其实也用到了负载均衡，固然还有缓存之类，将用户的请求定向到最合适的缓存服务器节点上去获取内容） 防护ddos，大厂商想要安全性能够去流量清洗，而一些小厂商，或者我的blog的站长，这个方式显然太烧钱了，开始也不能一直被d不是；有底子的站长能够去作反向代理加负载均衡，抗一小波流量是不成问题的，cdn也是用到了负载均衡技术哦~ 元霸大佬的观点是“新兴和传统的手段，硬件设备都同样，无非是在硬件资源，宽带资源进行流量进口量的放大。 ” 而且提出了方案： 有我的曾经写过一篇《十全大补帖，抗DDoS究竟哪家强？》 可是又没有那家来具体说明  能彻底防护DDos 攻击 有过一篇报道是这样说的 云堤抗D方案什么样？ 　　先讲三个核心观点>> 　　第一个观点：抗D服务是一种缓解方案，而不是一种治愈方案，它能够缓解DDoS对业务的影响，而不是完全根除DDoS攻击，Mitigation not Clean。 　　第二个观点：没有哪种抗D服务是包打全能的，须要根据实际状况灵活应对，必要时采起多种组合，任何宣称完美抗D解决方案的都是耍流氓。 第三个观点：即使全部组合方案全上，抗D服务也不可能彻底实现自动化，有必要的人工干预、定制策略才能更好实现抗D效果，尤为是混合型攻击、应用层攻击。 是啊，抗D服务是一种缓解方案，而不是一种治愈方案。 可是 如帖子 三楼所说，如今预防dos的基本方法 1负载均衡 2多节点防火墙 3充足的带宽 4多节点服务器 5过滤没必要要的服务和端口  6合理优化系统，避免系统资源的浪费 7检查访问来源并作适当的限制 8限制特定的流量 也或者向一楼所说 企业应该采用以下判断点，不要浪费大量的资源 1.判断机制 2.控制机制 3.止损机制 4.创建新型企业级运维云平台，部署多节点，服务开集群，同时关闭没必要要的端口，严格检测如80这些端口。避免出现阻塞状况。 5.提高带宽，限制部分无用的服务，资源耗尽无解。尽可能保存数据，准备重启吧。。。 观点和防护ddos的基本方法说的都很不错，针对企业也提出了一些方案。 yangwen表哥则是就硬件防火墙和cdn都发表了观点： 我去年在的一家公司曾经一段时间收到过100~200G的ddos攻击还有数不胜数次的CC攻击！ 1.硬件防火墙   服务器你们都买过吧，买的时候都会看到商家说什么200G硬防，300G硬防。   那这个意思就明显了，我告诉你了你买我这个机子我只能帮你扛200G300G的量，那若是攻击者400G扔过来，你说你死不死？    防火墙防护工做原理我分析不出来，不过你们都知道正经常使用户访问确定是TCP/IP有三次握手包，DDOS通常是发出两次握手包，而后服务器就在等客户机的第三次握手，等啊等却一直没等来， 而后愈来愈多的tcpip握手包，都只有前两次，服务器就在等愈来愈多的第三次握手包。虽说防火墙原本就具有这个分辨的能力，可是仍是同样！超过你防火墙能防的量你就得死！ 2.CDN    CDN就要比硬件防火墙理智的多，其优势是：    （1）用户根本获取不到你真实的IP    （2）以TX的为例，一百个域名，200个节点。随机分配。 假如200G的硬件防火墙在知道你真实IP后直接300G量打过来，你确定要死的把。 那若是换成CDN，我两百个节点，假如每一个节点能防30G，200*30就是600G，你来打我呀！笨蛋！那CDN会死吗？固然会！假如说你有十个节点，我所有获取到以后全给你打死！CDN能够说是网站和用户之间的中转站，因此你的网站也跟随着一块儿死去了！可是其代价也是至关大，得多少许才能打动数十个甚至上百个节点？ 硬件防火墙 VS CDN 我感受CDN比较好。不过呢，硬件防火墙的机子相对来讲便宜一点，CDN就很贵了。 TX的CDN我以前但是领教过，100个域名，两百个IP。当时是由于硬件防火墙防不住了，我选择了TX的CDN而且是流量计算模式！！！！ 记得当时天天流量1T多！一个月下来大概1万8左右！ 高防硬件防火墙也是有限制的，不可能扛下无限流量；cdn更加理智，多节点能够分担攻击流量，并且负载均衡也有神奇的效果，固然想用高质量的cdn，money确定是要掏的~ 能够看到很多大佬也是在工做中遇到了ddos和cc攻击（ddos在实际中发生的很频繁啊~） 遭遇到ddos攻击后，厂商或者站长毫不应该采起容忍的态度，要积极的去防护，必要时候要采起法律手段。 降龙大佬也是遇到过ddos，他认为被动的防护不是解决办法，而且呼吁相关部门对此采起措施。行政和法律方面咱们很少谈，咱们目前能作的就是创建本身的防护机制： 一些主机商遭遇ddos攻击大可能是选择忍到攻击中止，不只可能会对在他们服务器上搭建的网站或者一些服务器进行的工做形成极大的影响，间接的形成经济损失，甚至会流失大量的客源，危害极大。 以前本身也开过一些小网站，而后实在作不下去了，由于总有一些人掌握着大量僵尸网络资源，他们对ddos乐此不疲，而且有相关的不菲的经济收入，目标也老是web服务开放的端口。他们对于ddos的见解就是:只要量够大，没有打不死的目标(ಠ .̫.̫ ಠ) 前两天听说百度还被弄死了几十分钟，因此我对被动的防护持很大的见解。 因此纠结起ddos的源头，仍是要呼吁相关部门对那些基于ddos以及僵尸网络集群的黑色产业链给予高压态度，而且在防范方面还要作及时的网络攻击预警，全网流量攻防态势，例如一些高危漏洞可能形成的僵尸网络及时的预警并更全面更深刻的评估其安全风险，其余的缘由也没有人或者相关法律能够进行限制。 咱们能够作的有，对一些攻击者试探性的攻击作出及时的反应，其余防范方法     通常是禁ip，禁网段，作均衡负载服务，优化资源使用提升 web server 的负载能力，及时修复可能存在的安全漏洞，及时更新相关服务，使用硬件防火墙，增大网络带宽，砸钱。或者使用使用其余网络公司提供的高性能的基础物理网络服务（昂贵）等等。 但仍是引用某某大D阔的一句话:只要量够大，没有打不死… 咱们只有尽力去与ddos作斗争，尽可能减小或者避免相关的损失，防患于未然 wuli zusheng表哥也发表了精辟观点： 常规硬件防火墙通常来讲对于抗DDOS的做用不是太大，由于常规防火墙主要是依靠控制经过防火墙的IP地址和端口进行防御的。而DDOS每每是大量IP同时并发进攻防火墙。若是攻击者选择80端口做为攻击端口的话，因为网站自身服务必需要防火墙放行80端口，所以对此攻击方式是没有太好办法。另外DDOS攻击的方式有两种，一种是大量的数据包阻塞网络带宽，这个须要使用负载均衡设备进行分流与流量清洗；另外一种是大量的半开链接请求耗尽服务器资源池，这个就须要加大服务器硬件配置，缩短链接超时时间，创建服务器分布式集群等方式来进行对抗了。CDN有流量清洗就不用本身。 抄心了，反正给钱就是了。 简单粗暴的解决方式：砸钱。。哈哈，固然表哥也提到了我的能够作的一些防护措施，如负载均衡、创建集群等等 屌丝绅士表哥更是接连两次发表了观点： 回复1： 我的认为还算过得去的硬件防火墙没几个，不细说  方法嘛 就这些 1负载均衡 2多节点防火墙 3充足的带宽 4多节点服务器 5过滤没必要要的服务和端口  6合理优化系统，避免系统资源的浪费 7检查访问来源并作适当的限制 8限制特定的流量 回复2： 太详细的懒得写，不过 我的认为抗D 大同小异，若是换个想法，按照老总的想法老说呢，，固然是那个便宜  那个牛逼用那个，，翻译过来就是，空手套白狼的思想，而后我就呵呵了， 一方面 企业的发展和业务的扩张必定会愈来愈庞大，在原有的基础上不想增长设备，但又不想背负漏洞，显然这是不可能的，借用我大大的说法就是 卡节点，层层防护的办法，既然硬件须要钱，那我就用写死的软件去弥补， 另外一方面，换个思路，学学迅雷的下载宝，把一些路由器或者经常使用的终端中存放一些常规数据，这些设备在日常访问的时候，出站本地对素材进行效验，而后上传节点，转发到客户端，这个思想比较相似分布式运算 第二个内容针对企业防护ddos提供了很好的思路：“分布式”，分布式的dos攻击，用分布式的思想去防护（cdn的多节点和这个有点相似） 卖假药的大橙子表哥观点以下 ： A10 Network*（666）.目前为止没有比较厉害的办法。不管是传统仍是新型技术。都处于相对比较被动的位置。技术永远受限于攻击方。上海云盾出的太极。目前没有很彻底的数据公布。不清楚新一代的对抗状况。对抗死循环在于，D法自己是占用用户的正常区域资源所致使的技术方向，企业和用户也没法放弃这一块的资源利用。问题就在 1.判断机制 2.控制机制 3.止损机制 目前新兴和传统进度都同样。由于通常对抗的关键点都在于不可规避的点，也就没有更好的办法。缩短链接延时时间，创建新型运维机制，改善服务器的配置，同时须要严格控制损失状况，控制清洗流量监测流量。 1.创建新型企业级运维云平台，部署多节点，服务开集群，同时关闭没必要要的端口，严格检测如80这些端口。避免出现阻塞状况。 2.提高带宽，限制部分无用的服务，资源耗尽无解。尽可能保存数据，准备重启吧。。。 3.找个大牛多一点的防火墙合做伙伴吧，或者对本身的运维人员好一点吧。。这样还能过后多挽回一些损失。 4.新兴和传统感受区别不大，都处于被动状态，也没有更好的解决办法。 传统和新型技术目前还都是较为被动的状态，这是实话，因此目前的机制依旧不是很完善：只要肉鸡多流量够多，理论上能够打死任何站。。 fs冷逸表哥从主动防护的角度出发谈了本身的见解： 分布式拒绝服务（Distributed Denial of service）简称DDOS，不少DOS攻击源一块儿攻击某台服务器就组成了DDOS攻击，攻击指借助于客户/服务器技术，将多个计算机联合起来做为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提升拒绝服务攻击的威力。一般，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通信，代理程序已经被安装在Internet上的许多计算机上，代理程序收到指令时就发动攻击。    现在任然没有什么能够阻挡DDOS的工具，各类穿盾，过墙工具层出不穷，网站 服务器安全仍然为一大问题仅仅依靠某种系统或产品防住 DDOS 是不现实的， 能够确定的是， 彻底杜绝 DDOS是不可能的，但经过适当的措施抵御 90%的 DDOS 攻击是能够作到的，基于攻击和防护都有成本开销的缘故，若经过适当的办法加强了抵御 DDOS 的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将没法继续下去而放弃，也就至关于成功的抵御了DDOS 攻击。 虽然没法完全防护ddos，可是站长/厂商的主动防护将大大提高攻击的成本，对ddos也将起到必定的做用。 zooujun 如是说： 看到有活动，很是高兴能够参加。我的的小白一枚，技术很菜。可是看到这个话题，结合本身的经验，简单的说一说。传统抗D设备 vs 新兴CDN抗D：抗D效果哪一个好？ 首先对比一下，传统的抗D设备，比较有名气的就是绿盟的黑洞，听名字感受能够吞噬一切ddos，可是貌似cc就是针对它来的，谁叫你树大招风呢。各个传统安全厂商，通常都有抗D的设备，或者是在utm、下一代防火墙的功能里面，可是效果就不一了。因为硬件设备的硬件架构和接口带宽有限，用户不多去购买。不少用户以为，本身的单位没有必要上抗D的硬件，这个确实是这样的，若是真的有黑客要ddos你，那通常的设备也抗不住的。 相比新兴的抗D厂家，你们都是经过无数的设备堆叠出来的，无数的节点连接在一块儿，抗D效果可见一斑。可是每一个新兴的抗D厂家的投入、技术能力的不一样，抗D效果确定也不同，他们的收费固然也不一样。 可能有些用户试用了新兴抗D的产品，可是仍是被打瘫了。天然对新兴抗D没有信心。事实上，新兴的抗D厂家仍是颇有能力的，好比阿里的阿里盾，知道创宇的创宇盾，webray的玄武盾，都是很是好的。每一个厂家的抗D效果，要看客户肯投入的成本以及 黑客攻击的手段。 我相信，将来大中型企业，以及小型企业都会上线新兴抗D产品的，由于价格优惠，效果明显。 也但愿黑产能快点消失，让广大网友和企业，不受损失。 表哥分析了新兴的抗d设备和手段，他认为抗d厂家将会愈来愈多、愈来愈专业。   细心大佬有两次回复，由于太长啦，摘选其中精华的一段，完整版能够详见原帖： 回到正题：至于DDOS 咱们应该从实际出发，针对咱们的客户作成比较合理的方案，方案是什么？个人理解就是money，由于根据实际环境咱们要去判断咱们or那些人针对咱们的客户（或者客户其余）咱们还要判断客户的money他能够作多大的 安全防御，或者他对于假如遭到DDOS的损失，or以及遭到DDOS攻击时候，咱们要有想要的预案，或者说告诉客户如何去处理。快速的解决。保证咱们正常的业务范围不受到不法侵害。 基于解决方案：个人理解是要创新，要有核心思想。核心技术。 由于互联网，每一秒都在变，这一秒和下一秒，都是未知的。。。。。。。 就如vulnerable 老是那么的层出不穷，Windows不是还说出过一个最安全的系统吗？结果那。。。我不懂。 基于DDOS或者互联网安全;咱们只能说在“攻与防中对立”在攻防转换中，能够快速响应，拿出解决方案，在进步中“矗立不倒” 最后说个你们都知道的寓言故事：矛与盾！哈哈哈 谁好，你们好，才是真的好。 以及： 在合理的money下给出最优的解决方案保证咱们客户的利益，是最好的结果，也是咱们品牌价值最高的体现！ 个人方案是：人工智能+云大数据+规则+过滤防护等级（响应等级）+调查取证+反击（由于防护只是被动的挨打） 最后的方案给的很好，必要时候咱们的确须要取证，借助法律的力量来进行反击，维护本身的合法权益。 infosafe表哥总结了不少 实用的抗d措施： 国内各类盾很多,抗ddos能力也是相差不大,随拉几条 1.国产防火墙大可能是UNIX\LINUX+iptable等包过滤型防火墙修改成主,由于上升到应用层,抗ddos能力较弱. 2.抗d功能要下放到网络层,即network框架内实现,经过hook挂入抗击模块. 3.利用syncookie+sysproxy实现基本的抗击. 4.找到关键的时间间隔值，多1ms则多，少1ms则少，可实现握手协议的有效识别，偏门。 五、对proxy的攻击，除了标记识别外，还有约1/4来没法有效过滤，这也是为何cc如今还有效果的缘由。 六、应用层的防御，仍是指纹鉴别为主，可是要消耗cpu。 七、绿x确实在架构上可圈可点，但其流量牵引的机制存在bug，能够突破形成调度设备异常。 八、抗击的思路仍是鉴别+大量清洗。 九、香港的机房能实现简单的溯源，不简单。 十、国内运营商大多开启伪造路由识别，从idc机房发起的见少了。可是又在搞提速，肉鸡的能力愈来愈强了。 抗击趋势，识别（行为+指纹）+CDN清洗，老式清洗平台会逐渐退出舞台。 除了抗d措施，表哥也提到了之后抗d的趋势：识别+cdn清洗（其实，识别是更难实现的，误判、漏判都将形成必定的后果）。 mycookie表哥再次提到了cdn ： 安全狗很好。 都是说的从外到内抗，然额 如今的剧情是 不少企业都遭受从内部ddos 的剧情 内网被渗透感染，从内网dos攻击内网的出口设备等，好比 带宽管理设备等，比较容易弄瘫整个网络出口。 从外到内dos ，对于依赖出口的企业该上的就得上 第一关 硬件负载均衡f5或者redware 第二关先硬件防火墙   第三关 抗ddos设备 第四关  ips 第五关 waf 第6关 服务器 软负载均衡  另外须要买第三方的 流量清洗服务，应为你再牛逼，带宽也是有限的，大量的流量仍是靠idc 这样的机构去解决。 cdn 是不可缺乏的。 固然以上 都是钱堆出来的，看网络规模 。 有兴趣的小伙伴能够去深刻了解一下cdn的思想，很是有意思~ 1012699799大佬提出了很不错的观点： DOS和DDOS是什么？不想说，大家本身知道就好，不知道问百度去 DDOS攻击模式不外乎发送请求包，TCP三次握手，就跟你握手两次后。。。。。你等着我，我必定会回来的。 说明了你知道这是DOS攻击，不告诉你这是攻击，那么服务器怎么甄别？同一IP屡次玩这套？不一样IP也玩这一套？iptables限制链接数？封IP？封区域？不不，我跟你讲，你要这么玩，你会被踢的你知道不？pv没了？校园网你知道怎么回事吗？人多网络还不稳定。。。用网高峰三次握手，能跟你握一次那就老牛逼了。 我之前干小网管工做中碰上过DOS攻击，当时很兴奋，我***这么多访问，要发啊，干两年老板赏识我，我慢慢的会当上CEO赢取白富美，走上人生巅峰。。。 当时又搭建负载均衡，买带宽，流量不是很大，通过一番折腾挺住了，然而个人人生巅峰并无到来，我被人玩了，心情很失落，才知道遇见DOS攻击了。过了一周到汇报的时候，老板不懂网络，一听被人攻击，立马开大会找解决办法。花高薪请来一大神，据说薪资很高能在北京买房子的那种，之前是作物理防火墙的。来了之后开始大肆整改，通宵达旦写规则，很屌。应用后咱们的平常PV从几十万瞬间下降到了几千上万。。。。。历来没有被攻破过，很稳定。实习期过了，我就走了，如今想一想也挺可惜的，当时要是找的明白人，如今全国最大的二手车交易网站就不是如今这家了。 跑题了，回到正题，那么抗D设备哪家强？ 大禹治水知道不？黄河决堤知道不？ 堵不如疏 堵不如疏，这位大佬应该是认为被动防护，不如主动疏导，将流量分流下降压力，很不错的思想~ 总结： 防护ddos，须要整个行业的支持，这项事业既不可能一蹴而就，也不可能单独一家企业或者我的力挽狂澜。 防护ddos的路还有很远，可是路虽远，行必达，愿热爱it行业的每一个人、每家企业都能为ddos防护体系的建设贡献一份力量！ 再次感谢友情支持的xiaoye大佬~ 欢迎你们在下方留言