UDP攻击,将IDC的入口带宽塞满
防御方法:
1、直接丢弃UDP流量,因为源IP随机伪造难以追查,但大多数业务IP并不提供UDP服务,直接丢弃UDP流量即可。
2、出口IP切换到另一个公网IP
3、如果攻击者比较执着,即使换了公网IP他也立刻更改攻击目标的话,最好的解决办法就是找运营商帮忙做流量清洗
4、推荐本地DDOS防护设备+运营商清洗服务/云清洗服务
静态页面也不能抗D,但可以提高抗攻击能力。D的一般是IP,不是域名。
cdn只能加速网站静态资源,动态资源/API直接回源
非网站web业务,无法接入WAF防护
非网站业务只支持四层负载均衡转发,不支持七层防护(如WAF和CC防护)
对于游戏业务和视频直播业务来说,基本是UDP协议开发的
术语
PPS攻击——入方向每秒多少个数据包(万PPS),如100wpps,包的速率(每秒的数据包个数,主要是消耗服务器,网关,路由等设备的CPU性能)。特点:量大包小
BPS攻击——入方向每秒多少比特数(Gbit/s),如100Gbps(每秒的带宽量,单位是小b,主要是消耗带宽,通常约定按bps表示强度)。特点:流量很大
出流量Response回包大小决定了消耗多少业务带宽,出流量突增,一般是CC攻击
入流量GET/POST/UDP等请求包大小、速率决定了DDoS攻击带宽,入流量突增,一般可能是流量攻击
高PPS攻击,不同于高带宽攻击
PPS攻击会耗尽设备的资源。较BPS攻击少见些。缓解高PPS攻击需要的计算处理能力,远远超出了当前绝大多数网络设备路由或交换数据包的能力。
DDoS应急预案
- 流量型(直接)—–流量未超过链路带宽—–本地清洗
- 流量型(直接)—–流量超过链路带宽—–通知运营商清洗||临时扩容||云清洗—–本地清洗
针对SYN、ACK、UDP、ICMP等类型的flood攻击:- 一般情况下:本地清洗设备的防御算法都可以轻松应对。比如说首包丢弃、IP溯源等。
- 特殊情况下:可以再此基础上增加一些限速,至少就可以保证在遭受攻击的时候保持业务基本的可用性。
- 如果通过排查发现发生攻击源IP具有地域特征,可以根据地域进行限制(大量来自国外的攻击尤其适用)。
- 流量型(反射)—–流量未超过链路带宽—–本地清洗
- CC/HTTP慢速—–本地清洗—–本地清洗效果不佳后—–云清洗
常识
服务器的上行带宽,出方向。
服务器的下行带宽,入方向。因为服务器的下行基本不限的,客户端上传文件,对服务器的带宽基本没有影响,取决于客户端本身网络的带宽。
QPS是服务系统1s内接收客户端请求的一个并发处理能力。并发每秒的请求次数
每个页面平均大小10+KB
1000~1500QPS,带宽大概100Mbps
3000QPS,带宽大概200Mbps
5000QPS,带宽大概400Mbps
带宽和并发请求有关,和访问量无关
1万人同时在线访问你的站点,不代表带宽就很大。要看并发量,如有 1w 个并发请求,一个网页压缩后30kB左右,并发总共30 * 1w * 8 = 2.4G带宽。