我理解的解决DDoS攻击方式参考Cloudflare的任播(Anycast)技术
DDoS的攻击无论在个人甚至是中小互联网企业中都很棘手,甚至一些大型企业都很难应对,本篇文章我想通过我自己的理解,看看世界顶级CDN安全厂商Cloudflare是怎么化解DDoS攻击的。
什么DDoS攻击
以资料摘选自维基百科。
先说DoS攻击:拒绝服务攻击(denial-of-service attack,简称DoS攻击)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
再说DDoS攻击:当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称DDoS攻击)。
按说只要使用防火墙或者清洗设备将这些垃圾数据包清洗了就可以了,为什么中小企业无法解决呢,甚至大型企业也很头疼呢?虽然DDoS中还分很多种,但往往会把网络带宽占满,而带宽的成本又非常贵,例如在2019年阿里云就遭到一个次1.7Tbps的DDoS攻击,如果是靠买带宽来应对的话,这2T的带宽可能是天价了,用阿里云零售高仿网络宽带举例,30Gbps一年要21万,600Gbps一年要380万,可见想要靠带宽防御DDoS的成本非常高,让很多中小企业只能任凭黑客敲诈勒索。
解决方案分析
既然DDoS攻击原理是分布式攻击,流量来自全世界,汇聚到一点形成巨大的流量,那解决方案也需要是分布式的来将一个点变成一个面。接下来我就分两个案例来讨论一下防御DDoS的实现。
世界顶级CDN安全厂商Cloudflare
Cloudflare的免费版竟然提供无限防御流量,这点其他的厂商都有防御限度,超过阀值以后就会回源,不再防护,但Cloudflare却声称没有防御上限,也就是说Cloudflare能抗住多少流量就为你抗住多少流量,绝不会回源。
Cloudflare为什么能提供无限的防御能力呢?口气也太大了!我们在网上还会看到有人测试Cloudflare的防御极限到底是多少,但往往都会失败,说是发现Cloudflare打不死的IP,几乎无敌的存在,Cloudflare是怎么做到的呢?这就得说任播(Anycast)技术。
任播(Anycast)技术
Cloudflare是最早一批大面积使用任播(Anycast)技术的厂商,如此无敌的防御能力也是得益于任播(Anycast)技术。由于我也不是网络专业人事,只是谈一下我的理解和认知,所以我就以大白话给大家解释一番。
在之前传统网络环境中,我们认为一个IP地址就对应一个主机,一个IP段路由到一个机房,根据IP地址就能找到所在机房或者具体的服务器,这也是为什么DDoS甚至可以打垮一整个机房,但是是用任播(Anycast)技术就可以产生申请的效果。
任播(Anycast)技术可以使用多个 AS 号码在不同的地区广播相同的一个 IP 段,这就出现一个IP地址可以同时出现在全球任意一个国家,任意一个机房,注意是同时存在哦。
这样就可以让全球各个国家各个地域的流量虽然访问的是同一个IP但却流向了各自就近的不同机房中,得益于这样的技术,使得原本分布式的DDoS集合起来打一处,变成了各个区域的肉鸡各打各的,无法集中火力攻打一处,就使用分布式的方式解决了分布式的攻击。
Cloudflare号称拥有超过 51 Tbps 的网络防护容量,当然不可能是某个具体的机房,应该是所有机房加起来的总和,使用任播技术将流量调度到各个机房去。
中国国内电信云堤
中国电信的云堤我虽然不知道是否使用的是任播(Anycast)技术,但防御的原理是一样的,将各地的流量先导入电信云堤各地的机房,然后再转发到真实的源地址,当有攻击时,各个地域处理各个地域的攻击流量,这就防止了洪水般的的流量攻击到一处。云堤也号称可以开启无敌模式,打不死。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号- 大佬 引入jar包那里的 driver class 怎么选的?
- 我也遇到了这个问题,已经解决了,在此分享一下 1、宿主机也要创建kingbase的用户和用户组,并且要查看一下用户和用户组的ID(这个很重要) 2、把data目录的用户和用户组设置为kingbase 3、先不要把data路径挂载到宿主机上,这时就可以正常启动,启动后进入容器,查看一下容器内的kingbase的用户和用户组ID是多少,和第一步的ID是否一致,如果ID一致,那正常挂载目录就行;如果ID不一致,那就需要修改Dockerfile文件,在构建镜像时,修改容器内的用户和用户组ID,必须和宿主机的保持一致。然后重新构建镜像,就可以正常挂载宿主机目录了 4、其实直接修改宿主机的用户和用户组ID也是可以的,但是容器内的ID一般是1000,但是宿主机的这个ID很可能已经被占用了,无法修改,就只能修改容器内的ID
- 接口已经允许跨域请求,也就是说你可以在你的页面上调用,获取用户的公网 IP。 如果你还需要其他需求,可以提交 Issue 给我。
- V008R003C002B0320 这个对应的jdbc链接驱动你在哪里找到的?我也遇到了这个问题。
- WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 kingbase: superuser_reserved_connections must be less than max_connections 我按照文档修改了以后,不知道如何重启。
- 然后把数字都改成 1 再启动。 如何重新启动?
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"
- 进入容器查看一下日志,是不是启动失败了,日志文件在:/opt/kingbase/logfile
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"?
- 先通过 docker exec -it 容器名/id /bin/bash 进入容器,然后在容器中使用 ksql 客户端进行连接数据库:/opt/kingbase/Server/bin/ksql -U system test
- 免费.ml域名10年委托合同到期被马里共和国收回域名经营权
- 从极狐Gitlab看各种中间件技术选型
- 时隔十年首次收到 Google AdSense 的付款
- ga域名被加蓬共和国从Freenom公司手中收回域名经营权
- Freenom 被 Meta(Facebook) 起诉导致暂停 .tk/.ga/.ml/.cf/.gq 等新域名注册
- 生花妙笔信手来 – 基于 Amazon SageMaker 使用 Grounded-SAM 加速电商广告素材生成 [1]
- github.renfei.net 不再完整代理 Github 页面改为代理指定文件
- 优雅的源代码管理(三):本地优雅的使用 Git Rebase 变基
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)