摘要 : 事件雖然告一段落,卻引發了小伙伴們的大討論。這樣一個由硬件損傷引發的事故,為什么被人們懷疑出現DDoS攻擊?如果遭受真正的DDoS攻擊,云服務商又有什么應急措施呢?
“36氪登不上去。” “過日子也是。” “Enjoy也掛了。” 從2015年7月22日開始,微信、微博中一片哀號。各軟件運營者也紛紛在微博吐槽:由于合作的云服務商青云出現故障,導致在青云上的自家網站和App無法正常服務。
故障斷斷續續達到一天,于是人們紛紛猜測這次故障是由于DDoS攻擊導致。不過,第二天青云在官方微博澄清,是由于采購自H3C的交換機出現了故障,導致無法正常服務,并且在微博上持續更新修復進度,直到23日晚上六點多才完全修復。之后,"罪魁禍首"H3C也在微博上前排謝罪。
流氓+惡霸=核武器?
有安全專家曾經稱:“DDoS是攻擊中的核武器。”大面積的網絡癱瘓,正是DDoS攻擊的效果。加之最近DDoS的攻擊數量在呈幾何數級增長,人們內心深處對于這種核武器的恐懼可謂揮之不去。
核武器粗暴地毀滅一切;面對它人們陷入絕望、無計可施。那么DDoS攻擊呢?包羅萬象的雷鋒網也曾經詳細介紹過。(詳情請戳:那個動不動就黑了我們服務器的DDoS到底為何物)簡單來講,就是攻擊者聯合多個計算機對目標服務器進行洪水般地圍毆。
借用文中一個形象的比方:
惡霸們扮作普通客戶一直擁擠在對手的商鋪,賴著不走,真正的購物者卻無法進入;或者總是和營業員有一搭沒一搭的東扯西扯,讓工作人員不能正常服務客戶;也可以為商鋪的經營者提供虛假信息,商鋪的上上下下忙成一團之后卻發現都是一場空,最終跑了真正的大客戶,損失慘重。惡霸們完成這些壞事有時憑單干難以完成,需要叫上很多人一起。
2013年,著名開源視頻播放器VLC曾經慘遭DDoS攻擊,網站管理員利用工具制作了這個模擬攻擊視頻。無數流量集中火力傾瀉到服務器上的場景,讓人居然有點小激動啊。也許正因為這幅史詩般的圖景,DDoS攻擊也被人們稱為美麗的惡行。理論上來講,DDoS如果積攢足夠數量的攻擊力,可以干掉任何互聯網業務。
土豪才防得起DDoS
針對互聯網的攻擊行為,已經進化到了精細化的地步。黑客可以潛入服務器,竊取機密信息,也可以進入金融賬戶,盜取真金白銀。種種攻擊行為當中,DDoS這種堵在門口罵街讓人沒法做生意的攻擊可以說是最沒技術含量的。不過,也正是因為這種攻擊聲勢浩大,易取得敲山震虎之奇效。
騰訊云安全的負責人徐東山向雷鋒網介紹,諸多地下的專業團隊參與其中,使目前DDoS攻擊成為一個龐大的產業,只要有錢,甚至一個普通人都可以借助這些灰色產業的力量進行DDoS攻擊。安全廠商啟明星辰副總裁歐陽梅雯曾經在網上公布一份資料,顯示在2014年全球DDoS攻擊的收入達到6億美元,中國DDoS的市場約為3000萬美元,這個數據是前所未有的。
徐東山同時透露,現在網上一次中等規模的DDOS攻擊費用約在一萬元左右。而這些錢并不會完全落入黑客自己的腰包,因為攻擊中最重要的資源就是流量和帶寬,這些資源都要真金白銀地來買或租。所謂兵來將擋水來土掩,實施防御也需要巨大的流量。然而,我在明處敵在暗,敵人是游擊隊,戰時為兵,入村為民;而我方要養常備軍、正規軍,自然是耗資不菲。
這樣的游戲規則讓小公司欲哭無淚。防御DDoS動輒就需要租用上百萬人民幣的帶寬,而沒有被攻擊時,這些帶寬就完全閑置。作為“土豪”的代言人,阿里巴巴安全專家云舒公開表示:“我不是說風涼話。大規模的DDOS防御,那種成本不是小公司扛得住的。”
沒錯,100萬就是這么多
抗DDoS的武林江湖
面對DDoS攻擊的棘手之處在于,大量地痞無賴夾雜在少數真正想買東西的商戶中間無法分辨,這個時候便陷入了兩難境地:掏錢死撐,王冠會掉;關門大吉,賤人會笑。
國內云安全服務商青藤的發言人告訴雷鋒網,面對DDoS有兩個基本的解決思路:
1、流量清洗——掐掉一部分攻擊的流量,相當于揪出搗亂的無賴,踢出山門。
2、擴充帶寬——擴大服務器的容量,相當于找來更多的客服美眉,接待每一位顧客。
有業內人士為記者做了一個形象的比喻:
理論上,青云這類云服務提供商就像是一個大商場,它把店面分租給各家公司。其中一家公司被圍堵(DDoS),實際上青云并不負有責任。不過,在現在的市場競爭中,服務越來越重要。給客戶提供較高級別的安全服務,是現在云服務企業的主流選擇。而且,一旦黑客在商場的一個店鋪里偷偷放了違反政策的小電影之類的貨物,國家是會找商場算賬的。從這個角度來說,為商戶多配幾個保安,也是大商場的必然選擇。
那么,這些云服務提供商或云安全服務商,都有什么獨門武器來對抗DDoS攻擊呢?
青云
青云市場部的同事為雷鋒網提供了他們的用戶手冊,其中有涉及各類DDoS的處理預案。其中之一便是通過青云提供的負載均衡器,將請求的壓力分攤到后端,這樣可以有效地把攻擊流量分散到自家后院,然后各個擊破。
騰訊
而作為云安全市場的巨頭騰訊也有自己的獨特心得,騰訊云安全負責人徐東山告訴記者,面對各類花式DDoS,各家云安全企業采用的基礎應對措施都是相似的。譬如總共有10種路線應對攻擊,A公司可能采用1、2、3,B公司可能采用2、3、4。另外騰訊還推出了一個名叫“大禹”系統的防護產品,當遇到超大流量攻擊時,大禹系統會根據攻擊的實際的影響情況,通過修改域名的解析結果,使得正常業務流量快速分攤到未受影響的節點上去。待受影響修復后,大禹系統自動將節點上線導入業務流量。總體來講是用游擊戰的戰術對抗DDoS攻擊。
雷鋒網了解到,騰訊云安全擁有一個獨特的優勢,那就是裝機量巨大的騰訊電腦管家。如果一臺裝有電腦管家的電腦被黑客控制發起了DDoS進攻,那么管家會自動掐斷它的流量請求。
在抗DDoS攻擊的神器中,有一種Bug般的存在,那就是骨干網。骨干網是物理上連接各大城市之間的光纖網絡,移動、聯通、電信這三巨頭是主要的骨干網絡提供商。簡單來說,骨干網的帶寬已經達到了開掛的程度,能夠抵御絕大部分的DDoS攻擊,騰訊云安全也在和骨干網運營商合作,一旦遇到超負荷的數據請求,便會把流量引向骨干網的“汪洋大海”。
中國電信
令其他安全企業感到悲傷的是,中國電信可沒有安靜地做一個世外高人,就在不久前,中國電信也推出了自己的安全產品:“云堤”。坐擁骨干網絡的電信,根本用不著推測發起攻擊的IP,直接順著自家光纜就可以摸到攻擊發起的位置,直接掐住攻擊者的的喉嚨。電信云堤產品負責人劉紫千告訴記者:“通過分析電信全網的路由器數據,可以判斷是從境外發起還是從國內其他運營商發起,并定位發起點是哪一家運營商、哪一個城市甚至是IDC機房,從而調度設備進行流量清除,電信攻擊防護能力理論上無限大。”
話說到這個程度,應該為這個武林爭斗畫上句號了。不過,能用得起骨干網絡防DDoS攻擊的企業,怕是兩只手就能數得過來吧。
說到底,如果說DDoS和核武器最大的共同點,就是他們都需要大把的燒錢。面對DDoS這樣的惡魔,如果想要降服它,拼的還是兜里的鈔票。土豪的世界很危險,屌絲還是趕快回家吧。世界就是這么殘酷。
京公網安備 11010502049343號