阿里雲抵禦的全球互聯網史上最大DDoS攻擊,每秒453G的流量是怎麼做到的?

這是14年的新聞了每秒453G!阿里雲抵禦全球互聯網史上最大DDoS攻擊,我主要想了解一下這麼大的流量攻擊,是怎麼做的?


註:每秒453G的流量 是 攻擊峰值流量達到每秒453.8G。 很多無良新聞記者為了誇大效果,沒有提及「峰值」,這是天差地別的概念。

DDoS的攻擊方式有很多種,最基本的攻擊就是利用合理的服務請求來佔用過多的伺服器資源,從而使合法用戶無法得到伺服器響應。常用的有以下三種:

1. SYN/ACK Flood攻擊:這種攻擊方法是經典最有效的DDOS攻擊方法,可通殺各種系統的網路服務,主要是通過向受害主機發送大量偽造源IP和源埠的SYN或 ACK包,導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務,由於源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的殭屍 主機支持。

2 . TCP全連接攻擊:這種攻擊是為了繞過常規防火牆的檢查而設計的,一般情況下,常規防火牆大多具備過濾 TearDrop、Land等DOS攻擊的能力,但對於正常的TCP連接是放過的,殊不知很多網路服務程序(如:IIS、Apache等Web伺服器)能 接受的TCP連接數是有限的,一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多殭屍主機不斷 地與受害伺服器建立大量的TCP連接,直到伺服器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目 的,缺點是需要找很多殭屍主機,並且由於殭屍主機的IP是暴露的,因此此種DDOS攻擊方式容易被追蹤。

3. 刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,並調用 MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的,特徵是和伺服器建立正常的TCP連接,並不斷的向腳本程序提 交查詢、列表等大量耗費資料庫資源的調用,典型的以小博大的攻擊方法。

2013年那次互聯網大堵塞也是DDoS的攻擊,峰值高達每秒300G。 據了解他們使用了DNS反射攻擊

DNS反射攻擊的基本原理是:偽裝成攻擊目標的IP地址,向大量的開放DNS伺服器請求一個大的DNS域文件。這樣,這些DNS伺服器就會向攻擊目標的IP發送大量的DNS域文件。由於攻擊者發送的請求包要遠小於DNS域文件。攻擊者相當於可以用他們控制的機器的小流量來放大攻擊流量。

CloudFlare在2013年遭受的300Gbps的攻擊屬於DNS反射攻擊,當時導致他們全網故障。在2014年2月,它們遭受了前所未見的400Gbps的攻擊,黑客使用了NTP服務進行放大。

互聯網上有非常多的時間伺服器,通過NTP協議提供對時服務。但是它缺乏身份認證手段,可以被任意使用。更重要的是,NTP協議有一個指令monlist可以列舉出最近同步過時間的600個主機列表,如下圖:

攻擊者發出的Monlist指令只有1個數據包,耗費幾十個位元組,而返回包多達幾十個,耗費2000-3000位元組甚至更大,達到約50倍的放大。越是繁忙的NTP伺服器,這個放大倍數越大。

攻擊者只需要100Mbps的請求流量,可以換來5Gbps的攻擊流量,效率非常高。其它的DNS放大、SNMP放大、Chargen放大與NTP放大原理一致,只是使用的協議有區別。

個人猜測阿里的遭受的也是這類的攻擊。

via: http://blog.aliyun.com/250


攻擊的話是很簡單的...大量肉雞,這個基本上就是無腦加量


前段時間去浙江省電信大客戶部開會,講到防ddos,現在他們的思路的做近源防護,就是在主幹網路上靠近攻擊源的地方把流量清洗掉,據他們說阿里也在和他們合作。


453.8G 又如何 放在阿里雲上的博客園 被 20G的攻擊 攻擊了一下 立馬就 35分鐘 不能訪問了

而且。。。。

博客園什麼規模呢。。。租用了39台雲伺服器。。。。

還不是一樣被封。解決辦法是什麼呢?讓買 2萬塊錢的保底 20G 高防 ip。

然並卵,買完了再來個30G的怎麼辦?再買個30G的 高防IP?

再來個50G的呢?

呵呵。。。。

不知道阿里雲幫忙防住了453G的流量收了多少錢。。。


推薦閱讀:

一個收款二維碼合併的網站
產品經理如筆試題「如何讓李開復,周鴻禕等互聯網名人關注你的微博」應該怎麼作答?
一個可以幫新媒體運營人員 提高效率的導航網站
成為聰明人的第一步,是學會「問對問題」
「閱讀」觸類旁通:多終端時代的觸屏界面設計

TAG:互聯網 | 伺服器 | 網路安全 | 阿里雲 | DDoS |