eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

主機被流量攻擊 多年防護經驗之談



          十月一國慶的時候,eSafe白帽資安網公司收到一遊戲客戶的尋求幫助,他們的遊戲平台在最近這段

時間主機連續遭受到大流量攻擊,流量峰值都達到了160多G,嚴重
影響了遊戲平台的運轉,從

多年的安全經驗來說,160GB的DDOS流量防護方案,在
安全界有這很多的安全解決方案,像阿里

雲的雲盾流量防護,可以自定義級別10-
180GB,但是開啟阿里雲的高級防護,價格不菲,一般客

戶受不了,所以客戶選擇
了我們.
 
 
在尋求低成本的方面,也考慮到了遊戲平台的後期運營與發展,那個運營者都不會去做賠本的買

賣,都會合計成本,但是按照業界的流量處理成本恐怕不足以支撐整
個遊戲網站平台的運轉。關

於如何低成本的解決DDOS流量攻擊,下面我們來談一談
該如何處理流量攻擊,從多個方面去分

析,國內各大平台給出的基本都是高防服務
,這和流量清洗並不是同一個概念。高防服務一般針

對各類攻擊(包括 DDoS 和 
CC)都具有一定的防護能力,而流量清洗主要針對異常流量進行清

洗和防護,但對 
CC 攻擊這種 “看起來正常” 的攻擊流量並不能實現很好的攻擊防禦。

 
什麼是DDOS流量攻擊?
 
 
讓我們先來瞭解一下什麼是DDOS流量攻擊,DDoS流量攻擊也可以說是流量分佈式拒絕攻擊,

CC攻擊也是DDoS流量攻擊的一種,但和DDoS流量攻擊不同的是,它發出了
大量的正常請求

給服務端使服務端資源耗盡。具體對兩者的定義,CC攻擊成本低,
DDOS流量攻擊成本較高。

eSafe白帽資安網公司是一家專注於:主機安全、
網站安全、網站安全檢測、網站漏洞修復,滲透測

試,安全服務於一體的網絡安全服務提供商。
 
 
舉一個比較通俗的例子讓大家明白什麼是DDOS流量攻擊:
 
一條公路本來可以同時承載100輛車通行,突然間來了1000輛車,導致公路大堵塞,其他車輛

根本無法上公路上行駛了。這時該怎麼辦,找交警來疏通,慢慢的疏通
開,公路也暢通了,車

輛可以有序的行駛了。

 
 
根據客戶的流量攻擊特徵我們來分析下:
 
 
看一下遊戲平台的用戶地區:通過遊戲後台的流量統計可以看出,訪問者絕大部分來自於中國大

陸,極少情況會有在東南亞出(旅)差(游)辦(休)事(閒)的愛
國人士來刷存在感。中國大

陸地區的訪問情況大致如下,可以看到訪客絕大部分來
自於中、東部各省、市、自治區。如下圖:
 
 

 
從各類訪問日誌來看,來自於中國大陸的攻擊流量占比不到一半,來自於中國台灣
 
、美國、歐洲和南美的流量非常得多,總結如下:
 
國內外攻擊占比
 
中國大陸流量 ~40%
 
大陸以外流量 ~60%
 
流量攻擊方式
 
DDoS
CC
 
根據以上的情況,我們可以得出一些結論:
 
大多數正常訪問都是國內流量,可以購買支持隔斷境外訪問的國內高防,減少海外攻擊影響;

可以使用智能 DNS 把國外流量引到國外高防,就算國外掛了也對國內
沒有影響;國內需要防

護來保證服務的可靠運行;eSafe白帽資安網公司是一家專注於:服
務器安全、網站安全、網站安全檢

測、網站漏洞修復,滲透測試,安全服務於一體的
網絡安全服務提供商。
 
 
具體流量攻擊防護方案如下:
 
根據以上的流量分析可以發現,需要流量防護的重點在頁面內容上,這都是些小文件,可能要

問提高服務的 QPS 行不行,例如:
 
提高 gzip 壓縮比,減少網絡開銷。
 
使用 nginx 集群,提高負載能力。
 
加入各類緩存服務,讓性能更上一層樓。
 
但是單純通過提高自身的 QPS 來應對攻擊,實際是不行的,因為帶寬容易被 DDoS 擠滿,後端

性能再強也會因為帶寬不足無法提供正常服務,另一方面,增加自身 
QPS 性能帶來的成本比攻

擊者提高攻擊並發產生的成本大得多得多,對方少抽一包
煙就能讓你辛苦搭建的集群分分鐘負載

跑滿。
 
 
一、同時放置在國內靜態文件服務和境外高防的靜態文件服務之上;

 
CDN回源請求頁面內容並提供訪問服務,國內和國外靜態文件服務有兩個 DNS 記錄進行解析,

正常服務時DNS 解析大陸訪客到大陸 CDN 訪問,海外訪客到國外高防
主機進行訪問。


 
二、遇到攻擊時流量超出CDN預設的帶寬峰值回源,直接回源到 國外高防主機地址進行流量

清洗和防護;以上策略實現了正常狀態下的具有良好的訪問體驗,被攻
擊時保證頁面可以正常

瀏覽。 
 
 
三、從國內高防服務完全遷移到國外前後使用了近一個月的時間,為了驗證國外服務的可靠性和

清洗能力,對遷移期間遭到的若干次攻擊做了手動調度,即發現攻擊
後將流量全部遷移到國外,

即時監控國外服務的清洗情況和服務質量並進行調整優
化。
 
 
分享: