哈嘍糠雨,大家好剧辐,我是草梅友仁檀轨。
這周三(5 月 15 日)起來的時(shí)候筒溃,突然發(fā)現(xiàn)收到了阿里云的短信,說是 CDN 的下行流量包余量不足了短条。
啪的一下命斧,很快啊,我就上阿里云后臺(tái)看了一下。
結(jié)果睁壁,當(dāng)場傻眼了。
5 月 14 日到 5 月 15 日這兩天里,CDN 請求量居然達(dá)到了 316 萬次凌唬!
要知道食侮,平常一個(gè)月也就 10 萬次上下霉祸,這一次用了快 3 年的量!
很顯然袱蜡,這是被人 DDoS 了丝蹭。
平常只在別人的文章里見過的 DDoS,現(xiàn)在自己親自遇到了戒劫,才知道不好受半夷。
這時(shí)我才意識(shí)到阿里云這個(gè)提醒是干嘛的。
那么迅细,第一個(gè)問題,什么是 DDoS淘邻?
什么是 DDoS
分布式拒絕服務(wù)(Distributed Denial of Service茵典,簡稱 DDoS)將多臺(tái)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),通過遠(yuǎn)程連接利用惡意程序宾舅,對一個(gè)或多個(gè)目標(biāo)發(fā)起 DDoS 攻擊统阿,耗盡目標(biāo)服務(wù)器性能或網(wǎng)絡(luò)帶寬等資源,從而造成服務(wù)器無法正常地提供服務(wù)的攻擊手段筹我。
簡而言之,DDoS 攻擊并不需要什么特殊的方式蔬蕊,只要不停的訪問你的接口/資源结澄,將 CPU/帶寬等資源耗盡,就能讓你的服務(wù)無法正常運(yùn)行岸夯。
如何應(yīng)對 DDoS
先說結(jié)論吧麻献,個(gè)人服務(wù)器,或者說單獨(dú)的少數(shù)服務(wù)器猜扮,是絕對無法應(yīng)對 DDoS 的勉吻。
原因很簡單,個(gè)人服務(wù)端的配置一般較低旅赢,CPU/內(nèi)存/帶寬等資源都很少齿桃,很容易被 DDoS 攻擊耗盡資源惑惶。同時(shí),個(gè)人也很難承擔(dān) DDoS 帶來的損失短纵。
故响委,要想應(yīng)對 DDoS,只能借助云平臺(tái)提供的服務(wù)搞坝。
通過 CDN 保護(hù)源站
由于源站比較脆弱钞护,所以可以通過在前面加一層來保護(hù)源站。例如加上 CDN养渴,這樣攻擊者就只能攻擊到 CDN雷绢,而無法攻擊到源站,從而保護(hù)服務(wù)器理卑。
有關(guān)如何配置 CDN 請參考:《2023-03-29 如何在阿里云 OSS 配置 CDN》
通過 WAF 保護(hù) CDN
但由于 CDN 本身也是要付費(fèi)的翘紊,所以 CDN 本身也是有可能被惡意刷流量,導(dǎo)致高額賬單的藐唠,所以還需要通過 WAF 來保護(hù) CDN 的安全帆疟。
關(guān)于 邊緣WAF 是什么,請參考:邊緣 WAF 概述(新版)
DCDN 結(jié)合邊緣 Web 應(yīng)用防火墻 WAF(Web Application Firewall)能力宇立,在 DCDN 節(jié)點(diǎn)上提供 WAF 防護(hù)功能踪宠,可以有效識(shí)別業(yè)務(wù)流量惡意特征,將正常妈嘹、安全的流量回源到服務(wù)器柳琢。避免網(wǎng)站服務(wù)器被惡意入侵,保障業(yè)務(wù)的核心數(shù)據(jù)安全润脸,解決因惡意攻擊導(dǎo)致的服務(wù)器性能異常問題柬脸。
比較幸運(yùn)的是,這次的攻擊全部來自一個(gè)網(wǎng)段毙驯,即 61.186.41.0/24倒堕,所以可以在 WAF 的防護(hù)策略中一次性把全部的 IP 都加入黑名單。
這樣就可以在 WAF 的層面將攻擊全部攔下爆价,從而保護(hù) CDN 的安全垦巴。
截止本文發(fā)布時(shí)間(2024 年 5 月 19 日),WAF 已攔截下近 1965 萬次攻擊允坚!
image-20240519232243224
開啟 DDoS 防護(hù)
雖然 WAF 也可以攔截攻擊魂那,但對于大流量攻擊,還得上 DDoS 防護(hù)稠项。
不過由于 DDoS 防護(hù)的價(jià)格實(shí)在太高涯雅,遠(yuǎn)不是個(gè)人可以承受的,一般只有公司才有這個(gè)需求展运,所以就不采用這個(gè)方案了活逆。
訴諸法律手段
前面的方案都是技術(shù)上的精刷,還是被動(dòng)應(yīng)對,因此蔗候,如果遭受的損失較大(幾千怒允、幾萬元),還可以考慮訴諸法律手段锈遥。
《中華人民共和國刑法》的相關(guān)規(guī)定:
第二百八十五條規(guī)定纫事,非法侵入計(jì)算機(jī)信息系統(tǒng)罪;非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)所灸、非法控制計(jì)算機(jī)信息系統(tǒng)罪丽惶;提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序爬立、工具罪是指钾唬,違反國家規(guī)定,侵入國家事務(wù)侠驯、國防建設(shè)抡秆、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的,處三年以下有期徒刑或者拘役吟策。
違反國家規(guī)定儒士,侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)踊挠、處理或者傳輸?shù)臄?shù)據(jù)乍桂,或者對該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制,情節(jié)嚴(yán)重的效床,處三年以下有期徒刑或者拘役,并處或者單處罰金权谁;情節(jié)特別嚴(yán)重的剩檀,處三年以上七年以下有期徒刑,并處罰金旺芽。
提供專門用于侵入沪猴、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具采章,或者明知他人實(shí)施侵入运嗜、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具悯舟,情節(jié)嚴(yán)重的担租,依照前款的規(guī)定處罰。
單位犯前三款罪的抵怎,對單位判處罰金奋救,并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員岭参,依照各該款的規(guī)定處罰。
故 DDos 攻擊是直接違反了上述法條的尝艘,理論上講是可以判刑的演侯。
不過,這只適用于攻擊方在國內(nèi)的情況背亥,如果攻擊方在國外秒际,也拿他們沒什么辦法。
但是狡汉!
幸運(yùn)的是娄徊,通過查詢 IP 屬地,我發(fā)現(xiàn)攻擊我 CDN 的 IP 在國內(nèi)轴猎!
所以嵌莉,原則上講是可以直接向當(dāng)?shù)氐木W(wǎng)警報(bào)案的。
不過捻脖,由于報(bào)案多少有點(diǎn)麻煩锐峭,加上實(shí)際損失很小(幾十塊錢的流量費(fèi))可婶,實(shí)在不值得折騰沿癞。
加上對方也有可能只是掛了個(gè)代理到這個(gè) IP,所以就算報(bào)案了也未必能得到處理矛渴。
(但如果對方一直攻擊的話椎扬,最好還是報(bào)案處理。)
總結(jié)
以上就是筆者最近遭受 DDos 攻擊的過程具温,和一些應(yīng)對方案蚕涤。
老實(shí)說,DDos 攻擊是陽謀铣猩,對攻擊方來講成本很小揖铜,但對防守方來說成本卻很高。
正所謂“害人之心不可有达皿,防人之心不可無”天吓,我們能做的也就是不去 DDos 別人,但也要有防范別人 DDos 自己的可能性峦椰。
希望看到這篇文章的讀者朋友們不會(huì)有相同的經(jīng)歷龄寞。
本文作者:草梅友仁
本文地址:https://blog.cmyr.ltd/archives/7b99b82a.html
版權(quán)聲明:轉(zhuǎn)載請注明出處!
