DDoS(分布式拒绝服务)攻击是无解的吗?

京东云 2019/07/14 23:16

推荐产品 更多 >>

新知图谱, DDoS(分布式拒绝服务)攻击是无解的吗?

内容整理自:知乎@例不虚发探花郎

“DDOS?一言难尽啊!”

先说结论,DDoS是近年来网络攻击中的一棵“常青树”,的确很难缠,但说它是无解的,那也有点太看得起它了。虽然DDoS在对很多大平台的攻击中出尽了风头,但在现在互联网的解决方案中,并不缺乏应对DDoS的解决方案。

说起DDoS攻击,我脑海里能够想到的全都是中国民间俗语,什么“双拳难敌四手,好汉架不住人多”,什么“千斤拨四两”,什么“乱拳打死老师傅”等等等等。

新知图谱, DDoS(分布式拒绝服务)攻击是无解的吗?

之前有朋友跑来问我DDoS是个什么东西,为什么这么多互联网巨头都被搞得没有脾气,我记得我当时我是这么举的例子:

我们这一代人小的时候,自助餐开始在中国内地风行,那会儿这个行业里为了打击竞争对手,对手最惯常使用的阴招是雇佣很多五大三粗的人,给他们钱去对方的店里一通猛吃,杯盘狼藉之下,用不了几天这家自助餐就能给吃黄了。

而DDoS攻击比这种还阴损,如果你开了一家餐馆,你的对手如果想搞你,最好的办法就是找一堆地痞流氓到你的店里坐的满满一屋子,你如果上前问,他们就一直跟你扯淡找麻烦,导致真正想吃饭的顾客一看这个情形,掉头就走了。

用不了多久,你的餐馆就会开不下去,而你的竞争对手就会趁机蚕食掉你的市场份额,而放在网络语境里,这就是DDoS攻击的最基本原理。

而这件事之所以难缠在于,一两个无赖根本成不了气候,想要耍流氓必须要有很多个无赖集结在一起。 所以和现实世界中的无赖一样,DDoS真正的杀手锏在于利用能够发动的汹涌的流量,可以瞬间冲垮被攻击网站的服务器。

新知图谱, DDoS(分布式拒绝服务)攻击是无解的吗?

如果我们回溯一下历史的话,会发现黑客组织之所以会有组织有预谋的发起DDoS攻击,基本上都是基于以下几个原因:

  • 有些行业如果网站被恶意攻击,会造成很难估量的损失,这个时候黑客发动DDoS攻击的初衷一般是出于敲诈勒索,为了保证企业的正常运转,他们通常愿意向黑客付高额的赎金;

  • 行业内血海一片,DDoS是恶意竞争的屠刀。这个现象从逻辑上,其实雇佣无赖去占领对手餐馆的原理是一毛一样的,而且DDOS攻击早已产业化,现在中国的DDOS黑市,出钱请黑客打1G的流量到一个网吧或网站,市场价只要不到50块钱,但对于一个创业公司或者干脆就是一个小网吧来说,这已经算是可以灭顶的无妄之灾了。

  • DDoS攻击往往成为掩盖真实网络攻击的烟雾弹,在遭受DDoS攻击的企业中,部分企业还伴随数据丢失的现象,黑客利用DDoS攻击掩盖其窃取用户隐私的真实目的,这种攻击行为在社交网站、金融领域等用户隐私高价值的行业尤为高发。

比如说,去年年初的时候,荷兰第一大银行荷兰商业银行于2018年1月28日晚间遭到DDoS攻击;第二大银行荷兰合作银行的网银服务29日早晨遭到攻击;第三大银行荷兰银行在那一周内共遭到7次网络攻击,仅周末就有3次。

不过这一次发生在荷兰的针对银行系统的攻击并没有造成用户隐私的泄露,原因在于这仅仅是一次来自俄罗斯一个网络间谍组织Cozy Bear对荷兰情报组织AIVD侵犯其计算机的“单纯”的报复行为。 但并不是所有黑客组织发起的DDoS攻击都如此单纯。

2018年年底时万豪酒店发布了一则公告,称其旗下喜达屋酒店的5亿人次的信息被泄露,共计3.27亿人,泄露信息包括姓名、邮寄地址、电话号码、电子邮件昂面地址、护照号码、出生日期、性别等等入住信息,更糟糕的是万豪无法确定,侵入酒店系统的第三方黑客,在窃取的信息中是否包含客人的银行卡号和密码。(此案例和DDOS攻击无关,建议采用其他案例,比如2011年4月20日至26日,索尼遭受DDoS攻击,目的是为了掩盖盗取索尼PS的用户数据。)

而游戏领域,则是DDoS攻击的另一个重灾区,不光是刚才前文中提到的暴雪,包括索尼、金山、网易在内的众多知名游戏公司都曾数次遭受攻击,可以说DDoS攻击是游戏企业的噩梦。

许多刚创业的游戏公司,可能刚上线就被打死,而一些处在融资阶段的游戏公司,由于遭遇攻击而被迫停服,则很大程度上会调低投资人的预期,甚至导致融资失败。

而这些因素,都是竞对打压或者敲诈勒索的绝对软肋。

从以上的几个案例我们不难看出,和现实中的耍流氓和敲诈勒索相比,通过网络手段进行攻击的风险和成本更低,坏蛋的嘴脸也更穷凶极恶一点,无论是政府机构还是企业平台,无论你是巨头还是小蚂蚁,只要你身上有羊毛可以薅,你都时刻面临着被洗劫的风险

不过刚在开头我也讲了,虽然DDoS很难缠很让人头痛,但本质上图并不是无解的。

回到我最开始讲的那个例子。

你是一个餐馆老板,过去三十年一直是个老老实实的厨子,突然面对五十个臭流氓到你店里耍无赖的时候,你最好的应对方法,应该是什么?

自己组建一支人马,和这些臭流氓正面刚?这恐怕不行,因为你不是臭流氓,你没有相应的作战经验。

报警请人民警察来帮忙处理?这恐怕也不行,人家在你店里没有打砸抢,只是“温和的”非暴力不合作,警察来了也只能当民事调解,并且人家马仔众多,明天再换一拨新面孔来,玩的你一点脾气都没有。

这就是面对DDoS时,无论是巨头还是小蚂蚁,他们的实实在在的困境。

但正所谓“道高一尺魔高一丈”,你在云上和我耍流氓,那我就在云上回击。

“云”的事儿,不如还交还给云来处理。 我认为就目前DDoS的在攻击量级上的疯狂进击的前提下,云计算服务厂商或许是狙击它们的最有效手段。

2018年年初,峰值1.35TB/秒的流量冲击了开发者平台 GitHub。这是第一次TB量级的DDoS攻击。GitHub 受到攻击后,服务器断断续续,无法访问。攻击发生 10 分钟后,GitHub 向CDN 服务商 Akamai 请求协助,访问 GitHub 的流量已经由后者接管并在15分钟之内完成了防御。

Akamai的相关负责人在接受采访时说,我们是基于迄今为止最大规模 DDoS 攻击五倍的峰值而做的相应准备,所以 1.3T 对我们来说是小意思。

新知图谱, DDoS(分布式拒绝服务)攻击是无解的吗?

在关于流量峰值这一点上,我认为饱受双11、双12、618等全民购物狂欢的电商巨头们更有发言权,就拿京东举例子好了。

京东云在之前发布的高防版的DDoS服务中,展示出了非常明确的信心是,在多年的电商狂欢流量对抗中,京东云已经在实战中建立了一套完备的防御机制,无论是在流量峰值的建模上,还是在DDoS的防御算法上,它的部署都远远不是纸上谈兵,而是拳拳到肉的经受住了实战的洗礼。要知道,全世界每年有超过5成的DDoS攻击都来自中国,而我们的国家也是全世界超过美国的第一大“肉鸡”市场,由电商大数据加持演化而来的京东云,它在云安全的理解上可以说是非常深刻了。

所以说,如果说一定要有一个结论,我想说“上帝的归上帝,而云上的归云上”,像京东云这样的基于电商大数据考验的云计算平台,或许才是对抗DDoS的最终答案。

新知图谱, DDoS(分布式拒绝服务)攻击是无解的吗?

京东云
+ 关注

更多新知