当前位置:首页 > 软件与服务 >

当公司网站遇到DDoS攻击后,我竟然......

发布时间:2016-08-29 10:45:57 来源:原创 作者:渣渣小编
[摘要]我供职于一个富有激情的团队。和所有其他中小型企业一样,我们都为着自己心中的“BAT梦”不懈奋斗着。直到有一天,家里面来了一位不速之客——DDoS/CC攻击。

我所在的单位只是一家名不见经传的小公司,和所有其他中小型企业一样,我们都为着自己心中的“BAT梦”不懈奋斗着。直到有一天,家里面来了一位不速之客——DDoS/CC攻击。

毫无疑问,我们的网站宕机了。

接下来,在我的细心观察下,发现了这位不速之客经常穿的“三套行头”:

第一套行头:海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。然而随着时代的发展,这身行头好像已经不能跟上时代的潮流;

第二套行头:灵动而难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。但是这类攻击主要是利用协议或者软件的漏洞发起,需要特定环境机缘巧合下才能出现。

第三套行头:轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,是当前比较时髦的打扮。

我心想,既然有迹可循,就大可以让这位不速之客“有来无回”。然而事实证明,我还是太年轻了。不过转念一想,连乐视那样庞大的网络都被这位仁兄一招打倒了,我们这样的中小企业竟还在这儿逞英雄,实属不智之举。于是我想到了去寻找“援兵”。

阿里云等IaaS服务商

当然,我首先想到的是阿里云。阿里云是我国公有云班级的“班长”,像我们这样的中小企业很多都是阿里云的客户。自己的云服务被攻击来,首先当然想到的是他们。我们可以先来看看阿里云曾经“交上来的试卷”:根据阿里云安全团队发布的《2015下半年云盾互联网DDoS状态和趋势报告》,2015年共监测到近20万起DDoS攻击事件。其中值得关注的是,去年11月,阿里云安全团队成功防御了黑客对阿里云平台上某互联网金融用户发起的超大规模的DDoS攻击,峰值流量达453Gbps,这也刷新了当时DDoS流量防御之最。

据笔者了解,云盾Anti-DDoS服务具备的Tb级别的防御带宽和攻击检测能力,以及阿里云大数据分析系统带来的PB级日数据处理和万亿量级会话分析能力。当前,阿里云云盾在全国已经部署了几十个清洗集群,保护了中国30%的网站。

具体来看,阿里云DDoS防护解决方案分为两种:一种是DDoS基础防护,另一类则是云盾的高防IP。当然,DDoS基础防护是免费的,另外一种则是付费的。那么对于中小企业来说,免费产品自然优先考虑。

具体来看,不论是基础版本还是高防IP版,其DDoS防护的基础能力是相同的。第一,阿里云储备有充足的带宽,足以保证用户业务可用和稳定;第二,凭借阿里云强大的计算能力,云盾可以做到秒级开启DDoS防护,将用户的波动时间降到最低;第三,提供四到七层的DDoS攻击防护,防护类型包括CC、SYN flood、UDP flood等所有DDoS攻击方式。但是基础版有一个很大的缺陷,那就是仅提供5G的流量清洗、解析能力。对于我这样一个饱受DDoS摧残的人,可以肯定的说5G是绝对不够的,对方随随便便就可以将流量打满从而造成网站宕机。

但是,阿里云可以根据用户的信誉动态调整流量的清洗数值,最高可达100G。然而如果对于一个急需解决眼下问题的用户来说,这一点并没有什么作用。

回过头来看云盾高防IP版本,支持电信、联通、移动、教育网等8线独家防御DDoS集群1000G+防御,同时提供实时具备应用层抗DDoS攻击的能力,采用重认证、身份识别、验证码等多种手段精确识别恶意访问和真实访问者。

看起来很高大上,实际上也确实很厉害,毕竟人家成绩摆在那里。但是,下面这张图就足够让大多数中小企业用户打退堂鼓。

笔者将所有参数调到最低,云盾给出来的报价是88000元/年,这个价格比很多中小企业买一年云服务器的价格要贵出好多倍,也就是说很多企业难以接受。

综上所述,阿里云的抗D服务并不适合大多数没钱的中小企业。

当然,其他的大型IaaS服务商也基本和阿里云类似,比如腾讯云,它旗下的大禹+宙斯盾,百度旗下的安全宝+CloudFire,这里就不一一赘述了。

知道创宇等云安全厂商

阿里云等IaaS服务商的抗D服务价格着实让我们这样的中小企业望而却步,于是我把眼光转向了以知道创宇为代表的云安全厂商。为什么是知道创宇,我想从两个方面说一说。

第一个方面,相对于传统安全厂商提供的DDoS硬件防护设备,云安全厂商更愿意提供SaaS模式部署的抗D服务。对于更愿意采用公有云服务的中小企业来说,硬件防护设备是毫无用武之地的。即便是部署了硬件清洗设备,中小企业储备的带宽资源也不足以支撑这些硬件设备来清洗海量的攻击流量。并且,SaaS模式带来的低成本(包括产品成本+运维成本+人工成本)也更容易被中小企业接受。当然,以启明星辰、绿盟科技为代表的传统安全厂商也在积极朝云端转型,然而现阶段,就笔者了解到的情况来看,很多安全厂商尽管成立了云安全事业部,但是不论是产品还是人员都还没有到位,没有明显的市场竞争力。

第二个层面,知道创宇是国内最早的云安全厂商之一,其产品线、产品功能以及服务在同类厂商中算是佼佼者了。知道创宇目前形成了创宇盾(以WAF为核心)+加速乐(CDN加速)+抗D宝较为全面的云安全体系,并且辅以浑天反欺诈平台+品牌宝认证服务,中小企业在使用知道创宇抗D服务的同时,可以享受到较为全面的云安全服务,这一点契合了很多中小企业的需求。

具体而言,一方面知道创宇拥有横跨全国的分布式数据中心,部署600G以上带宽抗DDoS,并且所有机房全部都部署了腾讯宙斯盾,可随时应急调用腾讯自有带宽1.5TB,总防御能力超2T。这个防御能力已经得到了多次的验证。拿最近的一次事件举例,7月29日晚,知道创宇云安全旗下产品抗D保帮助其平台上的某金融客户成功抵挡峰值为685Gbps的DDoS攻击,刷新了全球抗D记录。当然这个记录也是知道创宇和腾讯云宙斯盾一起创下的。

另一方面,自主研发的祝融防护引擎能根据访问者的URL,频率,行为等访问特征,迅速识别出CC攻击并进行拦截,并且该系统已经申请了专利。知道创宇拥有几十万网站每天TB级的数据供分析学习,其抗CC攻击的成功率可达99.99%。

价格方面,知道创宇的免费版本可以提供每个小时不超过500M的流量解析服务,IP数量不超过20个,并且可以享受到创宇盾+CDN加速服务,然而同样的问题是,一旦DDoS攻击来临,每小时500M的流量清洗根本不够看。

再看看付费版本,下面是知道创宇的两种CC防御套餐:

两种套餐的价格都相较于阿里云便宜不少,对于中小企业而言,698元每月的套餐已经足够他们用来对抗日常的攻击了。并且还有一点非常重要,那就是知道创宇的工程师服务非常到位。知道创宇会为每一位用户配备一个专业的线上工程师提供全程的支持服务,这一点对于缺少安全人员的中小企业来说非常重要。

综合这几部分来看,以知道创宇为代表的云安全厂商与中小企业用户的需求还是非常契合的。当然,知道创宇也有应对大规模攻击的方案,这里就不再提了。

网宿科技等CDN厂商

除却以上两类大家会首先想到的抗D服务商意外,还有一类厂商也逐渐走进中小企业用户的视野,那就是以网宿科技为代表的以CDN服务为核心杀入云安全领域的厂商。

据笔者了解,网宿科技云安全战略可以分为三步:第一步是进行资源储备,一方面进行海量安全节点的布局,另一方面也在建分布式百G级高防机房;第二步是打造智能化调度机制,通过DNS调度与BGP AnyCast相结合的方式,将网络攻击分散开来;第三步是深耕安全客户需求,丰富产品线,逐步探索安全监控及业务风险控制等新产品,以满足客户不断升级的防护需求。

具体而言,网宿科技可以在自身分布式安全节点上,部署采用智能防护算法的DDoS防护模块,为用户提供综合防护能力达600G的各类DDoS攻击防护。通过这种分布式的部署方式,用户可以扩展到更高的处理能力,适应不断增长的DDoS防护需求。

但是在现阶段,网宿科技并没有一套完整的产品服务体系,他的安全能力主要体现在网宿科技将自身强大的CDN网络分发能力,租用给相应的安全厂商。在市场上,很多安全厂商在抗D方面都是和网宿科技在CDN方面有一定程度的合作。

但是随着网宿科技云安全战略的逐步落地,凭借自身在抗D方面的积累,网宿科技很快就可以建立起一套完整的安全产品以及服务体系。那么对于中小企业客户来说,网宿科技是否适合自己还有待进一步观察。

电信等运营商

最后一个不得不说的要属中国电信了。电信云堤凭借着中国电信强大的网络体系,可以说拥有着国内数一数二的抗D能力。云堤可以提供从流量监测、攻击防护到溯源分析等全套的抗D服务。但是,云堤的这些属性是有电信本身运营商的身份决定的,并不是因为他的技术有多高明,因此对于移动、联通等运营商的用户,云堤就会显得力不从心了。

并且,云堤的市场化程度较低,尚无成熟的价格体系,销售模式也主要依赖电信政企客户部门,与目前已经SaaS化的互联网系、CDN系相比,更适合大型或者集团型企业定制使用,并不适合中小企业用户。因此在这里,云堤的具体防护能力就不过多叙述了。下图是云堤抗D服务中流量压制的价格,仅供大家参考。(注:D豆是中国电信DDoS安全防护产品流量压制的计算单元,D豆自购买之日起有效期为一年,一个2000元)

从这张图中我们可以看到,做一次流量压制至少需要一万元,由此可见,电信云堤的价格难以被中小企业用户接受。不过,电信云堤的抗D能力已经开放给很多安全厂商。

当然除了以上四类抗D厂商以外,还有一些较小的供应商。但在我国的互联网环境下,抗D服务的核心资源带宽的价格居高不下,那些小供应商难以储备足够的带宽资源用于抗D服务,因此在这里并不推荐使用他们的服务。当然也希望有朝一日,他们能找到自己的出路,成长为一棵参天大树。

那么对比综合这四类供应商,作为中小企业用户,想好该选用谁家的服务了么?

【返回首页】