V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
8520ccc
V2EX  ›  信息安全

解决 ddos/cc 攻击的完美解决方案(可惜国内未推进)

  •  
  •   8520ccc · 2022-10-10 10:01:51 +08:00 via iPhone · 6105 次点击
    这是一个创建于 782 天前的主题,其中的信息可能已经有所发展或是发生改变。
    和 cf 一样做 anycast 就可以了

    例如 CDN 在全国 34 个省市都设立机房,然后用同一个 IP

    例如:6.6.6.6
    然后上海移动的用户直连上海移动的 CDN 边缘节点
    也只有上海移动的用户能直连到上海移动的 CDN 边缘节点

    这样的话,上海移动如果被攻击 ddos ,也只有上海移动的 IP 才能实施,其他区域的 IP 都不可能攻击到

    而即使上海移动有一定攻击量,也很难打动……

    因为这时候消耗的都是省内 /市内的宽带,成本很低……

    这时候只需要在边缘节点上过滤一遍攻击流量 /CC 请求

    再将正常的请求推到源站就好了(这样也能节省一部分跨省甚至跨国的攻击流量,节省成本)

    而现在国内的 CDN 都是一个机房一个 IP 段

    如果被攻击,全球的攻击流量都能到……

    这样应该完全是有利无弊的,不知为何不推进这项技术……
    38 条回复    2022-10-11 14:39:36 +08:00
    julyclyde
        1
    julyclyde  
       2022-10-10 10:06:36 +08:00   ❤️ 8
    你知道 ddos 第一个 d 字啥意思嘛?
    你知道各服务商都有 anycast 吗?
    cxh116
        2
    cxh116  
       2022-10-10 10:11:33 +08:00
    GEODNS 一样可以实现你这样的效果,虽然 IP 不同,但效果跟你说的这操作差不多.

    流量足够大, CDN 被打穿,全回到源,一样挂,只是攻击成本的问题.
    xiao109
        3
    xiao109  
       2022-10-10 10:26:57 +08:00   ❤️ 2
    错觉之一,这么好的方案怎么只有我想到了
    aoling
        4
    aoling  
       2022-10-10 10:39:34 +08:00
    就近处理,分布式清洗攻击流量,各运营商都有这个技术的呀,

    最终还是要有人抗下这些流量的
    Depth
        5
    Depth  
       2022-10-10 10:48:14 +08:00
    成本问题,另 anycast 该技术国内各家好几年前就开始提供该技术的防御 IP 了,国内碍于成本没法平衡而已。
    Xusually
        6
    Xusually  
       2022-10-10 10:55:50 +08:00 via iPhone
    这……不然 op 认为现在的高防 cdn ,高防 ip ,分布式流量清洗是怎么实现的,都是类似的技术,不过就是要付出多少成本而已。
    dingwen07
        7
    dingwen07  
       2022-10-10 10:57:18 +08:00
    Anycast 是让每个区域的肉机只能攻击当前区域的服务器,理论上确实是要比 GEODNS 更好的
    不过话说国内 DDoS 的肉机都是哪来的。。。
    songpengf117
        8
    songpengf117  
       2022-10-10 10:57:39 +08:00 via iPhone   ❤️ 2
    试看区块链技术能不能完美解决 ddos/cc 攻击
    Jamy
        9
    Jamy  
       2022-10-10 11:00:06 +08:00
    @songpengf117 这也能用区块链技术解决?
    AA5DE3F034ACCB9E
        10
    AA5DE3F034ACCB9E  
       2022-10-10 11:04:29 +08:00
    @Jamy 区块链包治百病
    mhycy
        11
    mhycy  
       2022-10-10 11:07:01 +08:00
    先看看国内的 BGP 接入价格再来讨论扛 DDOS 的问题,运营商不中立结果就是 BGP 带宽价格高得飞起
    另外,还有基于 BGP 的 DDOS 流量重定向清洗方案
    参考 https://www.akamai.com/zh/products/prolexic-solutions
    因为 BGP 接入的困难性,这东西在国内难以普及
    julyclyde
        12
    julyclyde  
       2022-10-10 11:31:30 +08:00   ❤️ 11
    @Jamy 5G 区块链 人工智能 物联网 能上的全给他上
    最后再做个大屏幕,声光电
    bobryjosin
        13
    bobryjosin  
       2022-10-10 12:37:22 +08:00 via iPhone
    @julyclyde buff 叠满哈哈
    nightwitch
        14
    nightwitch  
       2022-10-10 13:24:25 +08:00   ❤️ 2
    cdn 不用收费的吗。。
    也许你源站确实抗住了,DDOS 没把你源站打死,结果月底一看 cdn 账单 20 万,这也算解决 ddos 了吗
    lambdaq
        15
    lambdaq  
       2022-10-10 13:25:57 +08:00   ❤️ 1
    @julyclyde 这大屏幕还必须是 VR 的。
    mm163
        16
    mm163  
       2022-10-10 13:28:24 +08:00
    @julyclyde 有那味了。
    ZeroClover
        17
    ZeroClover  
       2022-10-10 13:29:36 +08:00
    @nightwitch 实际上利用防御成本远高于攻击成本来迫使因为账单问题导致网站下线也是 DDoS 的目的之一
    8520ccc
        18
    8520ccc  
    OP
       2022-10-10 13:47:49 +08:00
    @nightwitch 真的有大的 CDN 服务商提供这种方案了 直接防御免费了,因为基本不可能打死

    攻击无效

    参考 cloudflare (无限防且服务免费。。。)

    现在被攻击 CDN 贵的原因正是因为没有实施这项技术 导致被攻击清洗时成本极高(且有可能被打死)
    8520ccc
        19
    8520ccc  
    OP
       2022-10-10 13:50:23 +08:00
    @mhycy 运营商的问题吧 说难度什么的我认为都不存在,这些都已经有成熟的应用了,照猫画虎,技术上肯定不是很难的

    但是中间就是依赖于运营商 人家不配合你只能看着。。
    8520ccc
        20
    8520ccc  
    OP
       2022-10-10 13:53:33 +08:00
    @julyclyde 国内的 CDN 基本都用过

    阿里 /腾讯 /百度 /百度云加速 /华为(而我主要指的是这些主流的大的 CDN 服务商)

    基本都不是这个实现,都是通过 DNS 进行分区的。。。。。

    阿里 /腾讯 倒是都有这项业务 但是都是提供海外的
    8520ccc
        21
    8520ccc  
    OP
       2022-10-10 13:54:29 +08:00
    @xiao109 绝非此意 我只是好奇这么好的方案为何这么久都未被国内主流 CDN 服务商启用
    8520ccc
        22
    8520ccc  
    OP
       2022-10-10 13:56:06 +08:00
    @Depth 或许正是因为这项技术完全依赖于运营商 被垄断 所以价格设定很高吧 溢价很高。。。。

    或许这样更赚钱。。。。。。。。。。。。。。。。。。。。。。。。。
    8520ccc
        23
    8520ccc  
    OP
       2022-10-10 13:57:13 +08:00
    @aoling 分开来扛还是很轻松的。。。。国内大的 CDN 服务商基本每个省 直辖市都有节点。。。
    8520ccc
        24
    8520ccc  
    OP
       2022-10-10 13:59:03 +08:00
    @cxh116 完全不同啊 我全部流量集中打你一个区域的节点就好了(一个个摁过去)

    例如就打你上海电信的节点 全球 500G 流量过来 你上海电信就得有这么多宽带吃得下才行吧

    但是如果是 anycast 得你上海得攻击流量有这么多才行了。。。。
    mytsing520
        25
    mytsing520  
       2022-10-10 14:41:13 +08:00
    @8520ccc
    #20
    原因 11 楼讲的很清楚了,费用,费用,费用。
    你自建一套 BGP+AnyCast 的成本,和运营商直签,用运营商的线路,至少 10 套节点都有了。
    julyclyde
        26
    julyclyde  
       2022-10-10 14:56:15 +08:00
    @8520ccc anycast 要加钱啊
    DNS 分区可以提供更精细的调整能力
    qwvy2g
        27
    qwvy2g  
       2022-10-10 15:01:46 +08:00 via Android
    为什么不在用户侧部署联动设备自动阻断?
    loukky
        28
    loukky  
       2022-10-10 15:03:56 +08:00 via Android
    anycast 并不是国内没有,只是说 CDN 一般拿不下来,国内的任播好像 DNS 比较多,阿里的,114 的都是 anycast
    xuanbg
        29
    xuanbg  
       2022-10-10 15:30:29 +08:00
    OP 的错觉:DDOS 的流量都从一个地方来。。。
    q1angch0u
        30
    q1angch0u  
       2022-10-10 15:57:32 +08:00
    有啥难的,实在不行就上元宇宙
    dorothyREN
        31
    dorothyREN  
       2022-10-10 16:06:06 +08:00
    anycast 他只要能打挂你一个地区,那你所有地区都会被打卦
    lysS
        32
    lysS  
       2022-10-10 16:19:07 +08:00
    如果 client 不是 web, 可以给 client 分组,不同的组只能请求独有的 ip ,被攻击的也只是个别组、影响有限,可以直接不管它
    leonshaw
        33
    leonshaw  
       2022-10-10 16:27:52 +08:00
    这样只能缩小影响范围,打挂一个区域反而更容易了
    jy02201949
        34
    jy02201949  
       2022-10-10 17:14:07 +08:00
    业内了解都知道运营商这块有整套解决方案的,直接用国内运营商在骨干网络上部署抗 D 服务,电信的云堤、联通的云盾等,ddos 流量还没到机房就被干了,当然,对应的价格也很美丽
    icy37785
        35
    icy37785  
       2022-10-10 21:37:33 +08:00
    总有人认为成本问题是技术问题,然后开始发问,这么好的技术为什么不用。
    ayconanw
        36
    ayconanw  
       2022-10-11 03:21:30 +08:00
    最简单的方法,套 cf ,然后服务器只给 cf 的 ip 开白名单
    L0L
        37
    L0L  
       2022-10-11 07:16:47 +08:00
    应用中类似的缓存穿透
    29EtwXn6t5wgM3fD
        38
    29EtwXn6t5wgM3fD  
       2022-10-11 14:39:36 +08:00
    各大厂商 CDN 为了成本都租用大量的运营商廉价的三线城市机房,甚至还有 PCDN ,把 Anycast 覆盖到这些 IP 几乎不可能
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2771 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:50 · PVG 17:50 · LAX 01:50 · JFK 04:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.