Tb级DDoS攻击成为常态,企业改如何应对?

本文由极御云安全xSec团队撰写,未经授权禁止转载!

  2018年3月1日,这是一个在平常不过的日子,距离三八妇女节还有7天,但是就是这样一个不能在平常的日子,DDoS攻击出来蹭热度了,当天国际知名的开源代码托管服务商Github遭受了1.7Tbps的DDoS攻击,刷新了互联网史上最大的DDoS攻击记录。

从攻击突破Tb级开始后,互联网企业的遭受DDoS攻击的风险也越来越高,行业竞争,黑客敲诈,恶意挑衅等都是导致DDoS的原因,通常99%的互联网企业并没有配备相应的DDoS防御措施和方案,这也使得DDoS攻击通常非常奏效,攻击效果立竿见影。

从下图中可以看到Tb级的SYN攻击也成为了可能

峰值接近1Tbps的SYN Flood攻击

同时还会伴随着多次短暂的突刺形SYN Flood攻击流量

突刺形SYN Flood攻击

而目前大部分互联网公司并没有配备相对应的DDoS防御服务和方案,所以在遇到类似DDoS攻击的时候,会显得非常无力,不堪一击。

而用户在选择DDoS防御服务商的时候通常也很少的会选择第一梯队的云安全和DDoS防御服务商,原因不外乎是价格太昂贵,无法承担每年数十万数百万的DDoS防御费用。

所以大部分用户会选择价格低廉,并不具备研发能力的杂牌DDoS防御服务商,这些服务商通常有如下特点:

1. 号称 无视DDoS攻击 无视CC攻击 (甚至有的打着打死退款的名义坑蒙拐骗,等攻击无法防御后要求退款往往会和用户躲猫猫)

2. 无法提供试用服务,或者试用时间低于72小时

3. 千元级别的高防服务号称单机数百G防御

4. 无融资背景,无电信运营资质

5. 无自主研发的DDoS防御系统(或者一些高防CDN采用fikker和kangle这种方案)

6. 号称攻击秒解的高防(其实秒解封是不存在的,因为攻击持续存在的情况下,秒解意味着极高的风险,而高防机房所在的IDC通常都有高价值业务,所以秒解是不可能实现的)

选择此类DDoS防御服务无疑是火上浇油,病急乱投医的后果也是非常严重的,用户业务中断时间越久,用户流失的数量越多。

但也会有不少用户表示,极御云安全的抗D云WAF产品价格好贵,10G防御价格要999元,200G防御价格都在3万元了,虽然价格比国内的阿X云便宜,但是还是无法负担得起啊。

在这里,我们还是要再次强调一遍,杂牌高防号称300G防御可能在极御云安全这里只需要10G或20G防御能力的抗D云WAF产品即可防御,原因分为如下几点

1. 杂牌高防并不具备研发能力,设备也是采用广谱的商用DDoS防御设备,就好像DDoS是细菌DDoS防御设备是抗生素一样,广泛使用的抗生素通常会让细菌产生耐药性,而黑客同样会针对使用最广泛的DDoS防御设备做出相对应的攻击方式,这也使得杂牌高防的防御能力形同虚设!

2. 由于第一点的原因,为了能够卖出更多的高防服务,通常只有价格战,A高防300G卖5000元/月,B高防300G卖2000元/月,这种同质化严重并且不具备研发能力的杂牌高防通常只有不断的价格战才可以猎取客户,但同样的利润面前虚标参数就显得自然而然了,50G当300G卖的比比皆是

那我们就来讲讲为什么极御云安全可以在10G或20G防御能力的抗D云WAF上防御100G甚至300G的DDoS攻击呢?

其实我们在抗D云WAF的产品介绍中提到了一些,那我们在这里就细细的介绍一下我们是如何实现的:

1. 极御云安全拥有的Intelligent Attack Filter能够在用户允许的情况下丢弃非必要的流量,例如抗D云WAF可以在必要时丢弃UDP协议流量,丢弃Large-SYN报文流量和丢弃国际方向的流量,单从这三点就可以将100G的DDoS攻击压制到10G以内。

2. 如果第一点的流量压制后,攻击流量依旧超出用户所购买的防御能力,我们计费系统并不会立即产生额外的防御费用账单,而是给予5分钟的宽容时间,通常DDoS攻击越大,能够持续的时间越短,通常百G级别的DDoS攻击能够持续的时间不超过1分钟。

3. 如果超过5分钟后,我们也允许有用户选择继续压制非必要地区流量,比如丢弃访问量或用户最少的地区,例如某用户的一个请求分布地图中看到可以在紧急情况下丢弃除Top5外地区的流量,这样通常可以将攻击压制到最小化,80%的情况下攻击大小会被直接压制到低于用户购买的防御能力!


有了这些技术的加持和保障,极御云安全能真正实现20G防御的抗D云WAF抵御杂牌高防宣称的300G大小的DDoS攻击,最后一算可能比杂牌高防都便宜哟。

最后在讲一下极御云安全如何保障CC防御效果吧。

早在8年前移动互联网并不发达和IPv4地址还算够用的情况下,硬件DDoS防火墙内置的CC防御算法和策略以及规则是可以有效防御各种CC攻击(除了一些变种CC攻击算法外),因为这些硬件防火墙的做法通常是采用Page injection这种方式对Browser进行安全检测,如果检测到浏览器无法运行生成的运算代码并得到正确的结果,并且超过一定次数那就将异常的IP地址加入黑名单拦截

看着确实是没问题的,而且目前为止除了阿X云和腾X云和一些专业的DDoS云防御创业公司外,其他DDoS防御服务商都还在继续采用这种古老又无效的方案解决CC攻击!

为什么要这么说呢,因为非白即黑的策略早已在移动互联网和IPv4匮乏的今天无效了,具体原因如下几点:

1. 移动运营商通常会采用公共IP出口,例如一个IP承载数万台手机的网络接入。

2. 宽带运营商越来越多的采用内网IP+公共IP出口方式,用户并没有独立的公网IP地址。

3. 微信和UC浏览器以及QQ浏览器等都内置了Cloud-Proxy机制,美名其曰抗劫持和云加速。

这三点就决定了非白即黑的IP封禁策略将会是失败的。

具体案例体现在极御云安全的某手游客户上,在使用极御云安全之前采用的是一家杂牌高防服务商,在业务遇到FRAME CC攻击和手机Botnet攻击后,这些杂牌高防服务商会封禁大量的公共出口IP地址,虽然封禁后客户的服务器CPU和带宽使用率正常了,但是90%以上的移动用户无法正常游戏,表现情况是无法打开游戏页面,这也让攻击者达到了攻击的目的

所以极御云安全在CC攻击防御上采用了整套自研的防御算法和策略,精准的实现CC攻击零误封,同时也可以保障用户业务丝滑流畅。

 

赞(4)
未经允许不得转载:极御云安全官方博客 » Tb级DDoS攻击成为常态,企业改如何应对?
分享到: 更多 (0)

相关推荐

  • 暂无文章

评论 抢沙发

马上开启您的安全之旅

立即开启