DDoS攻防:一场古老战争的“新发展”-阿里云开发者社区

开发者社区> 云安全专家> 正文

DDoS攻防:一场古老战争的“新发展”

简介: 一、DDoS趋势的一些变化 从今年3月份起,世界上最大的DDoS攻击记录到了1.7 Tbps,是一个普通家庭带宽出口的数十万倍,几乎可以横扫互联网,作为一个生存了20年之久的古老攻击形式,我们看到了今年来DDoS攻击量成指数级攀升,不仅没有出现颓势,反而愈演愈烈。
+关注继续查看

一、DDoS趋势的一些变化

从今年3月份起,世界上最大的DDoS攻击记录到了1.7 Tbps,是一个普通家庭带宽出口的数十万倍,几乎可以横扫互联网,作为一个生存了20年之久的古老攻击形式,我们看到了今年来DDoS攻击量成指数级攀升,不仅没有出现颓势,反而愈演愈烈。随着物联网的发展,数以亿计的IoT无辜的成为了DDoS攻击的”帮凶”,这给互联网的创业者带来了无比的创业压力,一方是如洪水般的DDoS攻击,一方是普通的网络出口带宽,今天互联网的DDoS攻击已经昭示了一个不得不令人悲观的事实,普通的企业根本不可能抵御住海量的DDoS攻击,这是一场无法单靠拼技术就能打赢的战役。

1_jpeg

1.1 DDoS攻击的成本究竟有多高

美国云安全技术服务公司Armor发布的一份报告揭示了暗网上针对各种网络犯罪相关服务实施的价格标准。该报告是通过搜罗数个知名的暗网市场数据总结出来的。据报告显示,黑客可以用10美元/小时、200美元/天的价格或者500—1200美元/周的价格租用DDoS攻击。

12
数据来源:freebuf

另外,从搜索引擎上也可以搜到很多类似的攻击平台,DDoS攻击即服务,黑客跑的一点也不慢。

1.2DDoS防御为什么这么贵

众所周知,防御海量的DDoS攻击,就必须要有海量的防御带宽,我们经常看到很多的客户提问说,主机上看到的恶意DDoS的IP是否可以用安全组或者软件防火墙封禁掉,也有客户提到,为什么阿里云在网络入口不能封禁掉这些攻击的IP。理论上,只要带宽足够,这样做是可以起到效果的,但实际上客户购买的主机带宽很小,单纯的用主机防火墙或者安全组只能过滤掉比带宽小的流量,一旦带宽被占满,那么这些封禁策略都将无法工作。DDoS攻击就像洪水一样必须要在入口处有坚固的堤坝,仅靠家门口的篱笆是无法阻挡住洪水的。

DDoS防御的主要成本是带宽、机房资源、服务器和清洗设备,这些都属于重资产资源,目前业界几种产品形态分别存在于运营商、云厂商、CDN厂商或者是IDC机房中,但是由于各自的服务模式、商业模式、技术和产品形态的不一样,在防御的时候原理会有一些区别,但是无论什么形态,都离不开前文所提到的这些资源。DDoS攻防不对等的主要原因在于防御厂商的这些资源必须是常备资源,以1个百G机房为例,一年的建设成本可能就需要上千万人民币,这还不算专业的服务人员和研发人员。随着全网提速降费和肉鸡资源增多,这种状况只会越来越加剧。

**二、上云后的DDoS防御最佳实践
**

依据防御能力的不同,阿里云上有不同的产品形态可以供用户选择,在企业上云的不同阶段,面临的威胁不同,也可以选用不同的防御产品来构建自身的安全体系,如下是阿里云DDoS防御产品矩阵图。

7_jpeg


2.1DDoS基础防护

云产品默认自带的防御能力,针对海量客户提供500M-5G的免费抗D能力,加入安全信誉联盟之后,可以累积信誉值,获得比5G更高的能力(限次)。

2.2DDoS防护包

提供比5G更高的增值防御能力,用户可以不改变任何配置,直接提升云产品的防御能力,部署简单方便。

2.3DDoS高防IP(BGP多线)

针对海量DDoS攻击的场景,需要把流量引入大流量清洗中心清洗,清洗完之后送回用户的主机,相较与业界产品,阿里云用户可以享受到专线回源,独享海量防御带宽的优势。

2.4游戏盾

针对攻击的重灾区游戏行业推出的端到端到无上限防御方案,防御DDoS攻击,CC攻击,游戏连接性攻击等各种复杂攻击,提供按照业务规模收费的成长性服务机制。

**三、探索抗D服务的几个发展方向
**

3.1不设上限防御服务

如今,一般的云厂商都具备了上T的防御能力,运营商也在逐步开放一些能力,防御方的实力大大增强,我们已经观察到了国外有厂商开始提供这种“unlimited”的服务,尽最大能力防护,意味着不再给用户设置防御上限,尽力防护到机房水位线为止,这种新的计费模式,充分发挥了云的规模化优势,使得客户的防御成本大大降低,也减少了客户付费之后还被打进“黑洞”的风险。

2_jpeg

3.2贴近业务,更具备成长性

遭受DDoS攻击的企业,一般还是以中小企业为主,目前DDoS防御的手段多以攻击流量的大小来进行收费。但是,1.7T的攻击出来之后,一般的企业基本上无法付费防住这么大的攻击,因此面对中小企业,按照业务价值大小付费的模式逐步发展起来。今年以来,游戏盾也在进行这方面的尝试,阿里云推出了基于客户业务日活数量来计费的服务,目前已经在内测申请阶段,内测链接https://promotion.aliyun.com/ntms/act/gameshieldinfinite.html

11

3.3更快更稳的网络质量

抗D服务是一种应急类的安全产品,在出现攻击的时候,需要用最快的反应时间来防御住攻击,因此客户一般会常态化的将业务跑在高防机房里。高可用的网络质量也是一个考虑因素。为什么高防的成本如此之高,其实主要看厂商将成本投向了哪个方面,如果是采用昂贵的BGP带宽的话,那基本上是目前国内最好的带宽了,再配合上云上的专线回源,可以让要求苛刻的游戏业务的体验做到极致。

3_jpeg
**


3.4数据与可视化**

另外一方面,随着DDoS攻击的不断发展,其攻击手段越来越复杂。在海量DDoS攻击发生的时候,完整的记录下攻击的详细日志,形成快速有效的实时分析数据,相比很多连控制台都不完整的IDC高防,这种“看见”的能力越来越成为云厂商的优势。今年,阿里云打造了全新的实时数据系统,能让用户看见更多的威胁,并且阿里云的全量攻击日志追溯可以让客户看到过去发生的攻击的详细信息。

4_jpeg


**
四、对于DDoS终局的一些思考**

这几年,我们发现无论是攻击手段的翻新还是防御厂商的增多,整个市场似乎出现了非常火热的现象,这其实跟整个互联网环境的变化息息相关。诸多防御厂商的涌入带来的一个好处是更多的资源涌入防御方,使得大部分客户都能找到符合自己需求的产品。未来会有更多的厂商加入进来,云服务厂商已经将抗D服务作为一个基础的门槛产品,没有抗D服务就没有稳定的云服务。

就任何一种攻击而言,没有攻击就没有防御。我们相信,只要互联网还存在,DDoS攻击就不会消失。当5T、10T的攻击来临的时候,也许只有所有的厂商联合起来,才能真正打赢这场战役。

这一切,还只是刚刚开始。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
7007 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7830 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5478 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9445 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
2154 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16931 0
+关注
云安全专家
阿里云安全
314
文章
1
问答
来源圈子
更多
让上云更放心,让云上更安全。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载