来源:蜘蛛抓取(WebSpider)
时间:2018-07-19 08:37
标签:
如何防御ddos
浅谈DDOS攻击攻击与防御 - 文章 - 伯乐在线
& 浅谈DDOS攻击攻击与防御
在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击。因为我们本身并不从事这种类型的攻击,这种攻击技术一般也是比较粗糙的,所以讨论得比较少,但是既然发生了这样的攻击我们觉得分享攻击发生后我们在这个过程中学到得东西,以及针对这种攻击我们的想法才能让这次攻击产生真正的价值,而并不是这样的攻击仅仅浪费大家的时间而已。
另外,我们发现大型的企业都有遭受攻击的案例,但是大家遭受攻击之后的应对措施及学到的经验却分享都比较少,这导致各家都是自行的摸索经验,依然停留在一家企业对抗整个互联网的攻击的局面,而对于攻击者却是此次攻击针对你,下次攻击却是针对他了,而且攻击之后无论是技术还是资源都没有任何的损耗,这也是导致这种攻击频繁并且肆无忌惮的原因。
我们来尝试做一些改变:)
二、应急响应
在攻击发生后,第一个现象是我们的网站上不去了,但是依然可以访问到管理界面,我们登陆上去简单执行了命令:
netstat -antp
netstat -antp
我们看到有大量的链接存在着,并且都是ESTABLISHED状态,正常状态下我们的网站访问量没有这么高,如果有这么高我们相信中国的信息安全就有希望了,对于这样的情况其实处理就比较简单,这是一次四层的攻击,也就是所有ip都是真实的,由于目前为止只是消耗了webserver的网络连接资源,所以我们只需要简单的将这些ip在网络层封禁就可以,很简单,用下面的命令即可:
for i in `netstat -an | grep -i ‘:80 ‘|grep ‘EST’ | awk ‘{print $5}’ | cut -d : -f 1 | sort | uniq -c | awk ‘{if($1 & 50) {print $2}}’`
echo $i && /tmp/banip
/sbin/iptables -A INPUT -p tcp -j DROP -s $i
for i in `netstat -an | grep -i ‘:80 ‘|grep ‘EST’ | awk ‘{print $5}’ | cut -d : -f 1 | sort | uniq -c | awk ‘{if($1 & 50) {print $2}}’`echo $iecho $i && /tmp/banip/sbin/iptables -A INPUT -p tcp -j DROP -s $idone
然后作为计划任务一分钟执行一次即可,很快,iptables的封禁列表就充斥了大量的封禁ip,我们简单的统计了下连接数最大的一些ip发现都来自韩国。为了保证系统的性能,我们调大了系统的可接受的连接数以及对Nginx进行了每个连接能够进行的请求速率,系统于是恢复了正常的运行。
正常状态一直持续到第二天,但是到中午之后我们发现访问又出现了问题,网络很慢,使用ping发现大概出现了70%左右的丢包,在艰难的登陆到系统上之后,发现系统已经很少有TCP的正常连接,为了查明原因,我们对系统进行了抓包:
tcpdump -w tmp.pcap port not 22
tcpdump -r tmp.pcap -nnA
tcpdump -w tmp.pcap port not 22tcpdump -r tmp.pcap -nnA
我们发现攻击已经从应用层的攻击调整到了网络层的攻击,大量的目标端口是80的udp和icmp包以极快的速度充满了网络,一个包大小大概在1k左右,这次占据的资源纯粹是带宽资源了,即使在系统上做限制也解决不了这个问题,不过也没有关系,对于网络层的问题我们可以在网络层上做限制,我们只需要在网络上把到达我们ip的非TCP的所有包如UDP和ICMP等协议都禁止掉即可,但是我们没有自己的服务器也缺乏对网络设备的控制权,目前是由工信部CERT提供支持的,由于临时无法协调进行相应的操作,后果如大家看到,我们的服务很慢,基本上停止了服务,在一段时间之后攻击者停止了攻击,服务才进行了恢复,很憋屈是么?但是同时我们得到了很多热心朋友的帮助,得到了更好的网络和服务器资源,在网络资源方面的能力得到了很大的提升,缓解了这方面的问题,这里对他们表示感谢。
三、常见ddos攻击及防御
继续秉承80sec的”Know it then hack it”,这里简单谈一下ddos攻击和防御方面的问题。ddos的全称是分布式拒绝服务攻击,既然是拒绝服务一定是因为某些原因而停止服务的,其中最重要的也是最常用的原因就是利用服务端方面资源的有限性,这种服务端的资源范围很广,可以简单的梳理一个请求正常完成的过程:
1 用户在客户端浏览器输入请求的地址
2 浏览器解析该请求,包括分析其中的dns以明确需要到达的远程服务器地址
3 明确地址后浏览器和服务器的服务尝试建立连接,尝试建立连接的数据包通过本地网络,中间路由最终艰苦到达目标网络再到达目标服务器
4 网络连接建立完成之后浏览器根据请求建立不同的数据包并且将数据包发送到服务器某个端口
5 端口映射到进程,进程接受到数据包之后进行内部的解析
6 请求服务器内部的各种不同的资源,包括后端的API以及一些数据库或者文件等
7 在逻辑处理完成之后数据包按照之前建立的通道返回到用户浏览器,浏览器完成解析,请求完成。
上面各个点都可以被用来进行ddos攻击,包括:
1 某些著名的客户端劫持病毒,还记得访问百度跳搜狗的事情么?:)
2 某个大型互联网公司发生的dns劫持事件,或者直接大量的dns请求直接攻击dns服务器,这里可以使用一些专业的第三方dns服务来缓解这个问题,如Dnspod
3 利用建立网络连接需要的网络资源攻击服务器带宽使得正常数据包无法到达如udp的洪水攻击,消耗前端设备的cpu资源以使得数据包不能有效转发如icmp和一些碎片包的洪水攻击,消耗服务器方建立正常连接需要的资源如syn flood或者就是占用大量的连接使得正常的连接无法发起,譬如这次的TCP flood
4 利用webserver的一些特点进行攻击,相比nginx来说,apache处理一个请求的过程就比较笨重。
5 利用应用程序内部的一些特性攻击程序内部的资源如mysql,后端消耗资源大的接口等等,这也就是传统意义上的CC攻击。
这里涉及到攻防的概念,但是实际上如果了解对方的攻击点和攻击手法,防御会变成简单的一个拼资源的过程,不要用你最弱的地方去抗人家最强的地方,应该从最合适的地方入手把问题解决掉,譬如在路由器等设备上解决应用层攻击就不是一个好的办法,同理,在应用层尝试解决网络层的问题也是不可能的,简单来说,目标是只让正常的数据和请求进入到我们的服务,一个完善的防御体系应该考虑如下几个层面:
1 作为用户请求的入口,必须有良好的dns防御
2 与你的价值相匹配的带宽资源,并且在核心节点上布置好应用层的防御策略,只允许你的正常应用的网络数据包能够进入,譬如封杀除了80以外的所有数据包
3 有支持你的服务价值的机器集群来抵抗应用层的压力,有必要的话需要将一个http请求继续分解,将连接建立的过程压力分解到其他的集群里,这里似乎已经有一般的硬件防火墙能做这个事情,甚至将正常的http请求解析过程都进行分解,保证到达后端的是正常的请求,剔除掉畸形的请求,将正常的请求的请求频度等行为进行记录和监控,一旦发生异常就在这里进行应用层的封杀
每个公司都有自己对自己价值的评估从而决定安全投入上的大小,每一次攻击也会涉及到利益的存在,正如防御因为种种原因譬如投入上的不足和实施过程中的不完美,有着天生的弱点一样,攻击也是有着天生的弱点的,因为每一次攻击涉及到不同的环节,每个环节都可能由不同水平的人完成,他所拥有的资源,他使用的工具和技术都不会是完美的,所以才有可能进行防御,另外,我相信进行DDOS攻击的人是一个固定的行业,会有一些固定的人群,对于其中使用的技术,工具,资源和利益链都是比较固定的,与之相对的是各个企业却缺乏相应的沟通,以个人企业对抗一个产业自然是比较困难,而如果每一个企业都能将自己遭受攻击时的经验分享出来,包括僵尸网络的大小及IP分布,攻击工具的特征,甚至有能力的可以去分析背后的利益点及操作者,那么每一次攻击都能让大家的整体防御能力上升,让攻击者的攻击能力有损失,我们很愿意来做这个事情。
四、根源及反击
我困惑的是一点,攻击我们并不能得到实际的好处为什么还是有人来攻击,而且听说其他公司都有被攻击的情况,我觉得有一点原因就是攻击我们的确得不到什么好处,但是实际上攻击者也并不损失什么,无论是资源上还是法律风险上,他不会因为一次攻击而损失太多,而相比之下,服务提供者损失的东西却太多了,这从经济学角度来讲就是不平衡的,我们处于弱势。
一般而言,的确对于作恶者是没有什么惩罚措施,但是这次,我们觉得我们是可以做一些事情的,我们尝试挖掘背后的攻击者,甚至清除这个僵尸网络。
首先这次攻击起源于应用层的攻击,所以所有的ip都是真实的,经过与CERT沟通,也发现这些ip都是韩国的,并且控制端不在国内,因为期间没有与国内有过通讯,即使在后面换成了udp+icmp的flood,但是依然是那些韩国的ip,这很有意思,正常情况下udp+icmp的数据包是可以伪造的,但是这里居然没有伪造,这在后面大概被我们证实了原因。
这些ip是真实存在的ip,而且这些ip肯定在攻击完我们之后一定依然跟攻击者保持着联系,而一般的联系方式因为需要控制的方便都是dns域名,既然如此,如果我们能挖掘到这个dns域名我们就可能间接的挖掘出真正幕后黑手在哪里。首先,我们迅速的找出了这次攻击ip中开放了80端口的机器,因为我们对80端口上的安全问题比较自信,应该很快可以获知这些ip背后的细节(80sec名称由来),我们发现大部分是一些路由器和一些web的vpn设备,我们猜测这次攻击的主要是韩国的个人用户,而个人用户的机器操作系统一般是windows所以在较高版本上发送数据包方面可能有着比较大的限制,这也解释了为什么即使是udp+icmp的攻击我们看到的大都是真实ip。发现这些路由设备之后我们尝试深入得更多,很快用一些弱口令譬如admin/admin登陆进去,果然全世界的网民都一样,admin/admin是天生的入口。
登陆进去一些路由之后我们发现这些路由器里面存在一个功能是设置自己的dns,这意味着这下面的所有dns请求都可以被定向到我们自己设置的dns服务器,这对于我们去了解内部网络的细节会很有用,于是我们建立了一个自己的dns服务器,并且开启了dns请求的日志功能以记录所有请求的细节。我们大约控制了20台路由器的dns指向,并且都成功重定向到我们自己的服务器。
剩下的就是简单的数据分析,在这之前我们可以对僵尸网络的控制域名做如下的猜测:
1 这个dns应该为了灵活的控制域名的缓存时间TTL一般不会特别长
2 这个dns应该是定期的被请求,所以会在dns请求里有较大的出现比例
3 这个dns应该是为了控制而存在的,所以域名不应该在搜索引擎以及其他地方获得较高的访问指数,这与2中的规则配合起来会比较好确定,是一个天生的矛盾。
4 这个dns应该在各个路由下面都会被请求
这些通过简单的统计就很容易得出答案,我们发现了一些3322的通用恶意软件域名但是发现它并不是我们需要的,因为只有少数机器去访问到,经过一些时间之后最后我们发现一个域名访问量与naver(韩国的一个门户)的访问量持平,workgroup001.snow****.net,看起来似乎对自己的僵尸网络管理很好嘛,大概有18台机器访问过这个域名,这个域名的主机托管在新加坡,生存时间TTL在1800也就是半小时,这个域名在所有的搜索引擎中都不存在记录,是一个韩国人在godady一年前才注册的,同时我们访问这个域名指向主机的3389,简单的通过5下shift就判断出它上面存在着一个典型的windows后门,似乎我们找到它了,不是么?经过后续的观察,一段时间后这个域名指向到了127.0.0.1,我们确信了我们的答案,workgroup001.snow****.net,看起来似乎对自己的僵尸网络管理很好嘛:)
这是一次典型的ddos攻击,攻击之后我们获得了参与攻击的主机列表和控制端的域名及ip,相信中国和韩国的cert对于清理这次的攻击源很有兴趣,我们是有一些损失,但是攻击者也有损失了(大概包括一个僵尸网络及一个控制端域名,甚至可能包括一次内部的法律调查),我们不再是不平等的了,不是么?
正如一个朋友所讲的,所有的防御是不完美的正如攻击是不完美的一样,好的防御者在提升自己的防御能力趋于完美的同时也要善于寻找攻击者的不完美,寻找一次攻击中的漏洞,不要对攻击心生恐惧,对于Ddos攻击而言,发起一次攻击一样是存在漏洞的,如果我们都能够擅长利用其中的漏洞并且抓住后面的攻击者那么相信以后的ddos攻击案例将会减少很多,在针对目标发起攻击之前攻击者也会做更多的权衡,损失,利益和法律。dns类的ddos攻击如何防御?
我的图书馆
dns类的ddos攻击如何防御?
“我是哟哟吼说科技,专注于数据网络的回答,欢迎大家与我交流数据网络的问题”DNS(域名解析系统)是将域名解析成对应的IP地址,以方便人们更好的记忆与该网站对应的域名来访问网站。DDOS(分布式拒绝服务)攻击是将多个傀儡机联合起来对某一个或多个目标进行攻击,达到目标计算机或网络无法提供正常的服务的目的。简单来说,最常见的基于DNS类的DDOS攻击就是攻击者利用多台傀儡机对目标DNS服务器发送大量请求,达到目标DNS服务器无法进行正常对请求进行解析回应的目的。DNS作为最大最复杂的分布式数据库系统,由于自身开放性、复杂性等特点,造成DNS系统面临非常严重的安全威胁,各个DNS服务提供者要如何保证自身服务的正常运行呢?下面哟哟来简单介绍几个防御方法:1、利用缓存来避免DNS服务器过载利用高性能的DNS缓存工具,若请求能命中缓存列表时,即利用缓存来进行响应,有效的降低DNS服务器的负载。2、丢弃快速重传的请求报文若客户端发送的解析请求报文丢失,客户端不会在短时间内向同一DNS服务器发送同样的解析请求报文,那么服务器端可以针对在一定时间段内同一IP发送同一目标的同一解析请求报文进行丢弃操作。3、丢弃未请求的报文一般是由于客户端配置错误,或伪代理服务器发送而出现的大流量的请求,直接进行丢弃操作即可。4、提升带宽可以提升DNS服务器机房的响应带宽来应对攻击者大流量的DDOS攻击,简单来说,若攻击带宽为100G,那么机房响应带宽为200G的话,就可以完全防御此次攻击。总之,最有效的预防基于DNS的DDOS攻击的方法还是对DNS服务器机房进行升级,提升响应带宽来避免一切大流量的攻击。欢迎大家多多关注我,在下方评论区说出自己的见解。
喜欢该文的人也喜欢防御ddos的方法_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
防御ddos的方法
&&ddos基础入门,适合初学者学习。
你可能喜欢后使用快捷导航没有帐号?
论坛入口:
| | | |
棋牌游戏如何针对DDOS攻击做好防御?
1.jpg (30.37 KB, 下载次数: 1)
09:49 上传
随着闲徕、皮皮等这一类新兴棋牌游戏公司的异军突起,今天整个行业都涌现出了大量的棋牌游戏公司。但游戏行业一直是竞争状态,尤其是棋牌行业是目前竞争、攻击最复杂的一个“江湖”。很多公司对这个行业不了解,贸然进行进入,并未对自身的系统、业务安全做很好的认知,存在很大的盲区,一旦被攻击束手无策,尤其是DDoS攻击是什么,怎么打出来的,怎么防护都不了解。
我们见过很多有激情、有技术的团队、玩法相当有特色产品进入市场,但是由于对行业的认知不足,直接被DDoS攻击给扼杀了,甚至在游戏仅在10余名代理商内测的阶段就被DDoS攻击,直接被高额的防护成本扼杀在了摇篮里。
因此阿里云针对棋牌行业的攻防特性及需求,在2017年召开阿里游戏云“棋牌X安全”全国巡回技术分享沙龙。这也是我们希望通过本次机会,能够走进地方,走进棋牌行业刚需,将游戏盾团队在这几年积累的经验能够分享给所有在棋牌行业的客户,帮助棋牌行业看清国内目前的攻击态势,全面提高自身的安全级别。
在11月29日举办的阿里游戏云“棋牌X安全”技术分享沙龙——成都站中,阿里云云盾产品专家黄犊在沙龙中详细解读了棋牌游戏的DDOS防御。
2.jpg (45.81 KB, 下载次数: 0)
09:49 上传
首先需要了解的是整个攻击态势:
3.jpg (22.77 KB, 下载次数: 0)
09:49 上传
阿里云:游戏行业DDoS态势报告(2017年上半年)中提出,90%的在被攻击的3天后业务就会彻底下线,持续攻击2-3天后业务的不稳定会导致客户流失90%以上,而攻击的日损失会在百万元以上!
4.jpg (24.66 KB, 下载次数: 0)
09:49 上传
尤其是棋牌行业,由于同质化竞争严重,棋牌行业已经成为DDoS攻击的重灾区,平均每天会出现30次左右的大流量DDoS攻击,攻击峰值超过600Gb。整个上半年超过300Gb的攻击超过1800次,最大峰值为608Gb。
5.jpg (30.76 KB, 下载次数: 0)
09:49 上传
其次是黑客的主要攻击方式:
攻击者主要采用UDP报文、TCP报文攻击服务器的游戏服务器的带宽,这一类攻击目前十分暴力,通常反映出来的就是服务器带宽异常升高,攻击流量远远大于服务器所在网络所能承受的最大带宽,直接导致服务器拥塞,正常玩家的请求无法到达服务。
2、BotAttack(TCP协议类CC攻击)
这种攻击相对于DDoS来说更难防御,黑客通过TCP协议的漏洞,利用海量的真实的肉鸡对服务器发起TCP请求,而正常服务器所能接受的请求数都在3000个/秒左右,黑客通过十几万的每秒的速度对服务器发起TCP了解,直接导致服务器TCP队列满,CPU升高、内存过载,进一步造成服务器死机来影响客户的业务,这种攻击的流量通常都很小,有时候隐藏在真实的业务流量中,很难发现,更是很难防御。
3、业务的模拟(深度业务模拟类CC攻击)
除了上面2中常见的攻击以外,由于棋牌类的游戏通信协议相对比较简单,所以黑客进行协议破解的难度很小,目前我们已经发现有黑客会针对棋牌客户的登陆、注册、房间创建、充值等多种业务接口进行协议模拟型的攻击,这种流量和正常业务一样,相对于BotAttck来说和模拟程度更高,防御难度更高!
4、其他针对性手段
另外除了传统的网络攻击以外,有很多棋牌客户还被有针对性的攻击,例如:数据库数据泄漏、微信恶意举报封域名等非常有针对性的攻击,每次出现问题,都会直接影响到业务的发展。
那么,游戏公司如何才能判断自己是否正在被攻击?
假定可排除线路和硬件故障的情况下,突然发现连接服务器困难,正在游戏的用户掉线等现象,则说明很有可能是遭受了DDoS攻击。
目前,游戏行业的IT基础设施一般有两种部署模式:一种是采用云计算或者托管IDC模式,另外一种是自拉网络专线。但基于接入费用的考虑,绝大多数采用前者。
无论是前者还是后者接入,在正常情况下,游戏用户都可以自由流畅的进入服务器并参与娱乐。所以,如果突然出现下面这几种现象,就可以基本判断是“被攻击”状态:
(1)主机的IN/OUT流量较平时有显著的增长
(2)主机的CPU或者内存利用率出现无预期的暴涨
(3)通过查看当前主机的连接状态,发现有很多半开连接,或者是很多外部IP地址,都与本机的服务端口建立几十个以上的ESTABLISHED状态的连接,则说明遭到了TCP多连接攻击
(4)游戏客户端连接游戏服务器失败或者登录过程非常缓慢
(5)正在进行游戏的用户突然无法操作或者非常缓慢或者总是断线
如何针对这些攻击做好防御呢?
6.jpg (21.79 KB, 下载次数: 0)
09:49 上传
做好攻击防护主要有3个方向:
1、架构优化-好的架构能解决很多问题
2、服务器加固-先做好自己能做的防御
3、商用的DDoS防护服务-选择靠谱的服务提供商最重要
游戏公司需要根据自己的预算、攻击严重程度,来决定使用哪一种。
在预算有限的情况下,可以从免费的DDoS缓解方案和自身架构的优化上下功夫,减缓DDoS攻击的影响。
a.如果系统部署在云上,可以使用云解析,优化DNS的智能解析,同时建议托管多家DNS服务商,这样可以避免DNS攻击的风险。
b.使用SLB,通过负载均衡减缓CC攻击的影响,后端负载多台ECS服务器,这样可以对DDoS攻击中的CC攻击进行防护。在企业网站加了负载均衡方案后,不仅有对网站起到CC攻击防护作用,也能将访问用户进行均衡分配到各个web服务器上,减少单个web服务器负担,加快网站访问速度。
c.使用专有网络VPC,防止内网攻击。
d.做好服务器的性能测试,评估正常业务环境下能承受的带宽和请求数,确保可以随时的弹性扩容。
e.服务器防御DDoS攻击最根本的措施就是隐藏服务器真实IP地址。当服务器对外传送信息时,就可能会泄露IP,例如,我们常见的使用服务器发送邮件功能就会泄露服务器的IP。
因而,我们在发送邮件时,需要通过第三方代理发送,这样子显示出来的IP是代理IP,因而不会泄露真实IP地址。在资金充足的情况下,可以选择DDoS高防服务器,且在服务器前端加CDN中转,所有的域名和子域都使用CDN来解析。
7.jpg (50.43 KB, 下载次数: 0)
09:49 上传
对自身服务器做安全加固
a.控制TCP连接,通过iptable之类的软件防火墙可以限制某些IP的新建连接;
b.控制某些IP的速率;
c.识别游戏特征,针对不符合游戏特征的连接可以断开;
d.控制空连接和假人,针对空连接的IP可以加黑;
e.学习机制,保护游戏在线玩家不掉线,通过服务器可以搜集正常玩家的信息,当面对攻击的时候可以将正常玩家导入预先准备的服务器,新进玩家可以暂时放弃;
f.确保服务器系统安全;
g.确保服务器的系统文件是最新的版本,并及时更新系统补丁;
h.管理员需对所有主机进行检查,知道访问者的来源;
i.过滤不必要的服务和端口:可以使用工具来过滤不必要的服务和端口(即在路由器上过滤假IP,只开放服务端口)。这也成为目前很多服务器的流行做法。例如,“WWW”服务器,只开放80端口,将其他所有端口关闭,或在防火墙上做阻止策略;
j.限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量;
k.认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击;
l.限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能无疑会陷入瘫痪;
m.充分利用网络设备保护网络资源;
n.禁用ICMP。仅在需要测试时开放ICMP。在配置路由器时也考虑下面的策略:流控,包过滤,半连接超时,垃圾包丢弃,来源伪造的数据包丢弃,SYN阀值,禁用ICMP和UDP广播;
o.使用高可扩展性的DNS设备来保护针对DNS的DDoS攻击。可以考虑购买DNS商业解决方案,它可以提供针对DNS或TCP/IP3到7层的DDoS攻击保护。
8.jpg (32.62 KB, 下载次数: 2)
09:49 上传
最后就是商业化的DDoS防护方案
目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或者流量清洗的一些设备,或者采用大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的成本要求也比较高。
在阿里云,我们团队去颠覆带宽“军备竞赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。
游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”还是“坏”,从而决定它是不是可以访问到它想访问的资源;而当攻击真的发生时,也可以通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。
9.jpg (65.88 KB, 下载次数: 1)
09:49 上传
所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。
风控理论需要用到大量的云计算资源和网络资源,阿里云天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已经从他们的攻击目标里面消失。
游戏盾,是阿里云的人工智能技术与调度算法,在安全行业中的成功实践。
而随着攻防进程的推进,网络层和接入层逐步壮大,我们希望“游戏盾”的风控模式,会逐步延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边缘处。所有的端,在接入这张网络时,都会经过风险控制的识别,网内的风控系统,也让坏人无法访问到他锁定资源。
未来,以资源为基础的DDoS防护时代终将被打破,演进出对DDoS真正免疫的风控架构。
10.jpg (41.67 KB, 下载次数: 0)
09:49 上传
而我们所做的,只是一个开始。
via:手游那点事
声明:游资网登载此文出于传递信息之目的,绝不意味着游资网赞同其观点或证实其描述。
关注我们官方微信公众号
下载我们官方APP-游戏行
关注手游动态微信公众号
腾讯天美”王牌制作人”李旻谈游戏设计《暗黑2》经典数值公式分析总结(二)关于游戏数值,你应该知道的几件事为什么很多国内的创意游戏设计得很糟糕?六位毕业生500多次迭代打磨,腾讯《尼山萨游策入门须知(三)—策划平时用些什么?
微信扫一扫关注我们→DDOS防御能力达到300G意味着什么?
DDOS防御能力达到300G意味着什么?
&&& 在9月8日举行的全球云计算大会上,国内专业第三方CDN服务品牌星域,正式宣布拥有超过300G的DDOS防御能力。消息一出,业界哗然,300G的DDOS防御能力到底意味着什么,以至于能引起如此大的反应?
&&& 星域CDN跻身全球DDOS防御一流水平
&&& 300G是DOOS防御能力的一个门槛,在世界范围内,能防住300G以上攻击的网站没几家。2014年2月份,美国专业云安全服务公司CloudFlare遭到一次400G攻击,造成包括4chan和维基解密在内的78.5万个网站安全服务受到了影响。更早之前,在2013年3月,欧洲反垃圾邮件机构Spamhaus也曾遭遇300G攻击,导致全球互联网大堵塞。
&&& 当然,DDOS攻击这种网络时代的人海战术,也是需要成本的。攻击规模越大,成本越高。因此从理论上来说,DDOS攻击不可能无限制地高下去。实际上,在目前能发起大规模攻击的人和组织并不多,Akamai公司的统计表明,今年Q2期间,全球只有12起攻击行为超过了100G,最大的一起攻击峰值流量也就240G的规模,还不到300G。
&&& 所以拥有300G的DDOS防御能力,意味着星域已经跨过门槛,跻身了DDOS攻击防御全球领先的行列,甚至超越了国际主流DDoS专业防护企业水平。
&&& 如果再拔高一点,我们甚至可以说,星域提高了我国整个CDN行业的DDOS防御能力。
&&& 300G并非星域DDOS防御能力极限
&&& 星域CDN能达到这一高度,跟其架构模式密不可分。通过名为“赚钱宝”的智能硬件,和独创的无限节点技术,星域突破了CDN有限节点布局的技术瓶颈,拓展出十万数量级的无限节点(骨干节点+边缘节点),最新公布的数据是星域已经拥有20万个节点。
&&& 而对付DDOS攻击的最行之有效的方法,就是通过变换数据内容位置,将受攻击的内容瞬时切换到安全节点上去,来规避DDOS攻击,以此保证服务不受影响。这种方法对节点数量和规模要求很高,节点数量越多,可供变换的空间就越大,防御能力自然就越高。
&&& 正是因为拥有足够多的节点,星域CDN才得以建立起300G级别的防御能力。
&&& 在6月份刚刚推出时,星域CDN就可轻松绞杀高达100G流量DDoS攻击。随着节点的日渐增多,目前其防御能力已经超过300G了。而随着节点的继续增多,星域CDN的DDOS防御能力还将进一步提高,300G并非它的极限。
&&& 由此可见,星域CDN独有的无限节点技术,在DDOS攻击防御方面拥有多么巨大的潜力。
&&& 也正是因为这一技术上的巨大飞跃,2015年全球云计算大会上,星域CDN获得了“年度全球创新产品”大奖。
&&& 不过全球的网络安全环境正在日益恶化,Akamai公司的调查数据还显示,今年第二季度的DDoS攻击活动创下新纪录,同比增长了132%。而且在过去3个季度内,DDoS攻击量每个季度都同比增长一倍,这预示着更高难度的全球DDOS攻击防御战将到来。要想打赢这场战争,星域CDN和它的同行们还需要付出更多努力。
编 辑:马秋月
余承东:华为荣耀已成为双品牌&未来将走独立品牌道路,6月30..
CCTIME推荐
CCTIME飞象网
CopyRight &
By CCTIME.COM
京ICP备号&& 京公网安备号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像
