这一期我们来讨论一个终极的网络安全话题,那就是DDOS的攻与防。
什么是DDOS攻击?这里先做一个小科普,DDOS攻击是分布式拒绝服务攻击的缩写,攻击者通过控制海量肉鸡发送或反射攻击流量到受害者服务器从而阻止受害者接收和处理正常的业务流量的一种攻击行为。
如果上图所示,就像车辆汇入一样,高速的红色的攻击流量完全占据了流量通道,蓝色的正常流量根本无法插入网络通道进行传输和处理。
据阿里云安全团队在2019年7月发布的《2019年上半年DDOS攻击形势报告》,以下简称《报告》披露:
2019年上半年,阿里云安全团队平均每天帮助用户防御2500余次DDoS攻击,目前阿里云承载着中国40%的网络流量,可以说阿里云上的DDoS攻防态势是整个中国攻防态势的缩影,阿里云安全团队基于2019年上半年云上的DDoS攻击数据做了统计分析。
- 2019年1-6月峰值大于每秒50Gbps的攻击事件发生了5500余次,也就是说平均每天十几次。
- 300G以上的攻击占比20%。
- 连续两个月出现TB级的攻击,TB级攻击已成为常态。
目前,阿里云上能够防御DDoS攻击的安全产品包括面向国内用户的新BGP高防,还有面向海外用户的DDOS高防(国际)。
这一期就探讨一下这两个产品值不值得买,值不值得用。
看《报告》中时间最近的6月份的统计数据:100-200G的攻击有近400次,居然和50-100G的攻击次数类似,为什么会这样?
看阿里云的新BGP高防的价格你就清楚了,假如是按年购买,100Gb保底带宽的新BGP高防的价格仅比30Gb保底带宽的贵30%左右,这么看100Gb的性价比更高,但假如大家都去买100Gb保底带宽的BGP高防,作为攻击者只能发动超过100Gb的攻击。因为阿里云的高防产品在超过保底带宽后可以按攻击流量峰值按天计费,如果攻击带宽超过了100Gb,一天下来的费用在几万块是家常便饭的事情,很多人在面对这个费用的时候通常的选择就是不防了。
你不防了,攻击者的目的就达到了,出现6月份的这种现象也就不足为怪。
所以我的建议是:
- 30Gb保底防护的高防不值得买,因为稍微增加30%的预算就可以购买100Gb保底带宽的高防。
- 假如只是有可能会被DDOS攻击,那么作为预防措施可以购买100Gb保底带宽的高防产品,这样的好处是即便真的遇到了攻击,即使不开通弹性防护,也能至少防御50%以上的攻击。
- 假如目前正遭受或者非常有可能遭受DDOS攻击,100Gb以下的DDoS防护产品就不用看了,要买就买300Gb的。
因为300Gb保底防护的价格约为30Gb保底防护的一倍,却能抵御住80%以上的攻击,剩下的20%再使用弹性防护反而能够节省成本。尤其看6月份的数据,300G以上的攻击次数下降到了10%左右,这是因为攻击者发动攻击也是有成本的,假如持续的攻击都无法达到目的,首先放弃的将是发动攻击的一方。
说完了国内的新BGP高防,再让我们来看一下主要面向国外用户的DDoS高防(国际)。
DDoS高防(国际)有两个版本,分别是保险版和无忧版。
两个版本都不再设置保底和弹性带宽,而是改成了不设上限全力防护24小时,就算有上T级的攻击也都不用怕。两个版本的区别是保险版每月只有两次防御机会,而无忧版是无限次的无上限防御。
两个版本的最低购买时长都是3个月,虽然无忧版的价格是保险版的4-5倍,但这个无忧版还是值得买的,因为从购买无忧版DDoS高防(国际)那一天开始,您就再也不用耽心DDoS攻击,无限次,无上限流量的DDoS攻击,阿里云都帮您扛了。
相信经过几次试探后,反而没有人再会去DDoS攻击您了,因为当再多的弹药也无法达成目的后,攻击者自然就会放弃,在这三个月里您就可以更加专注的发展自己的业务,这才是DDoS高防服务的价值所在。
作为购买建议,我的建议是假如目前还没有遭受攻击,可以以较低的价格先购买保险版,就当买了个保险,当遭受攻击且每月2次的防护次数用完后再考虑购买无忧版。
DDoS攻防就像一场战争,按照美国南北战争时期的名将谢尔曼的观点:要想取得战争的胜利首先就要摧毁敌军的战斗意志,这一点对于攻方如此,对于防守方也一样,就像天国王朝里的耶路撒冷保卫者在城墙缺口处做的事情一样。
DDoS高防,最贵的反而是最值得买的。