近半年,随着软硬件服务的廉价化、规模化,国内外云厂商频繁遭受不明原因的大规模网络攻击,给很多网站带来了不良的影响。其实,DDoS 攻击这把「达摩斯之剑」一直高悬在各家互联网公司的头顶,虽然很多互联网企业对 DDoS 攻击都是深恶痛绝,不过,到目前为止,很难从技术层面进行彻底的解决,原因就在于 DDoS 其实是一种合法的「攻击」。
什么是 DDoS 攻击?
DDoS(Distributed Denial of Service) 也称之为分布式拒绝服务,指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。简而言之,DDoS 攻击就是通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。
我们可以看看国内外有哪些比较经典的 DDoS 攻击案例:
2013年3月创记录的300 Gbps,Spamhaus、 CloudFlare 遭到攻击,被评价为「差点瘫痪欧洲网络」的攻击事件。
2014年2月创纪录的400 Gbps,攻击对象为 CloudFlare 客户,据称当时包 括4chan、维基解密在内的78.5万个网站安全服务受到影响。
2014年3月底, Anonymous 黑客组织发动了大规模的 DDoS 攻击,导致该索尼公司的 PlayStationnetwork.com 网站一度无法访问。索尼公司所称,DDoS 攻击过程中,索尼的 PSN 服务服务器被攻破,造成7700万用户数据被盗。
在2014年12月20-21日间,部署在阿里云上的某知名游戏公司,遭遇了全球互联网史上最大的一次 DDoS 攻击,攻击流量峰值达每秒453.8Gb,仍是一个刷新排行榜的「巨大」数字。很多人都不知道这个数字的概念,要知道国内一些中小城市总的带宽也不一定有 450G,也就是说,如果这么大的流量打到某个城市的 IP 上,这个城市就要断网了。
DDoS 攻击造成的影响和后果
也许你觉得 DDoS 攻击都是大公司才会遭遇的问题,那你就「大错特错」了。现在 DDoS 攻击成本极低,甚至已经形成了产业链,一些黑客明码标价。比如,打1G 的流量到一个网站一小时,网上报价只需50块钱。之前,国内就有一家 P2P 网贷的网站 CEO 为了打击竞争对手,雇佣黑客发动 DDoS 攻击,导致对方业务全线瘫痪。
我们还可以看一些权威数据,DDoS 防护服务市场领导者 Black Lotus 发布的报告显示,全球大型服务提供商都饱受各种 DDoS 攻击。攻击范围非常广泛,涵盖各行各业,其中64%的平台提供商受到 DDoS 攻击影响,66%的托管解决方案提供商和66%的 VoIP 服务提供商受到影响。
DDoS 攻击会造成非常严重的影响,61%的各类型服务提供商因被攻击而威胁到正常的商业运作,甚至造成利润流失或者客户隐私被窃。
来自卡巴斯基的调查分析显示,38%的 DDoS 攻击的受害者无力保护其核心业务免遭攻击。攻击也能影响信用评级以及保险费。一个单一的 DDoS 对公司的在线资源的攻击可能会造成相当大的损失,平均的数字根据公司规模的不同,大概从52000美元到美国444000美元不等。
其实,如果仅仅是对资产造成影响还可以接受,但是很多时候,DDoS 攻击带来的间接影响是非常可怕的,因为很多用户并不知情,他们只会觉得这家公司服务不好,并且会造成合作伙伴和客户无法进行网络访问的情况,甚至会对公司声誉造成致命的打击,这是用金钱无法衡量的。
常见的 DDoS 攻击解决方案
在云计算时代,对于任何 DDoS 攻击而言,需要的不是防御方案,不是某一个安全设备,而是是一个快速响应的机制,一个团队,是一个能够做迅速做系统分析,快速做出决策的团队。从目前来看,虽然降低 DDoS 攻击的影响并非易事,但是我们也要主动采取措施进行避免。一般而言,我们常见的防御方案如下:
- 多域名备份;
- 每个域名的接入服务器分别部署在不同的主流云系统上,并分别使用 CDN;
- 在云之间架设隧道 VPN,服务器相互之间通过 VPN 做数据同步和心跳;
- DDoS 发生后可能短时间无法完全防御,因此要有保证最小服务的生存的意思。例如:留1-2个站点作为不对外提供服务的冗余节点,并做好保密措施
那么问题来了,如何快速分析大面积受限服务的原因呢?如何能帮助云服务厂商和客户构筑一个快速响应机制呢?首先,我们需要确定是由于 DDoS 攻击,还是因为设备故障。然后再想方设法帮助云平台客户快速响应,及时跟云服务厂商沟通,进而采取相应的备选方案。
如果是 DDoS 攻击,及时求助云厂商过滤可疑攻击源地址,或采用应急备份服务;如果是网络硬件问题,云服务商就可以根据客户反馈快速甄别是否是外部问题,这样会极大降低客户的损失,并且保障好公有云(IaaS)厂商的服务质量。
本文节选自OneAPM新闻如何更早地发现 DDoS 攻击?
