2020-12-14 15:38:51

我理解的解决DDoS攻击方式参考Cloudflare的任播(Anycast)技术


我理解的解决DDoS攻击方式参考Cloudflare的任播(Anycast)技术

DDoS的攻击无论在个人甚至是中小互联网企业中都很棘手,甚至一些大型企业都很难应对,本篇文章我想通过我自己的理解,看看世界顶级CDN安全厂商Cloudflare是怎么化解DDoS攻击的。

什么DDoS攻击

以资料摘选自维基百科。

先说DoS攻击:拒绝服务攻击(denial-of-service attack,简称DoS攻击)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。

再说DDoS攻击:当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称DDoS攻击)。

按说只要使用防火墙或者清洗设备将这些垃圾数据包清洗了就可以了,为什么中小企业无法解决呢,甚至大型企业也很头疼呢?虽然DDoS中还分很多种,但往往会把网络带宽占满,而带宽的成本又非常贵,例如在2019年阿里云就遭到一个次1.7Tbps的DDoS攻击,如果是靠买带宽来应对的话,这2T的带宽可能是天价了,用阿里云零售高仿网络宽带举例,30Gbps一年要21万,600Gbps一年要380万,可见想要靠带宽防御DDoS的成本非常高,让很多中小企业只能任凭黑客敲诈勒索。

解决方案分析

既然DDoS攻击原理是分布式攻击,流量来自全世界,汇聚到一点形成巨大的流量,那解决方案也需要是分布式的来将一个点变成一个面。接下来我就分两个案例来讨论一下防御DDoS的实现。

世界顶级CDN安全厂商Cloudflare

Cloudflare的免费版竟然提供无限防御流量,这点其他的厂商都有防御限度,超过阀值以后就会回源,不再防护,但Cloudflare却声称没有防御上限,也就是说Cloudflare能抗住多少流量就为你抗住多少流量,绝不会回源。

Cloudflare为什么能提供无限的防御能力呢?口气也太大了!我们在网上还会看到有人测试Cloudflare的防御极限到底是多少,但往往都会失败,说是发现Cloudflare打不死的IP,几乎无敌的存在,Cloudflare是怎么做到的呢?这就得说任播(Anycast)技术。

任播(Anycast)技术

Cloudflare是最早一批大面积使用任播(Anycast)技术的厂商,如此无敌的防御能力也是得益于任播(Anycast)技术。由于我也不是网络专业人事,只是谈一下我的理解和认知,所以我就以大白话给大家解释一番。

在之前传统网络环境中,我们认为一个IP地址就对应一个主机,一个IP段路由到一个机房,根据IP地址就能找到所在机房或者具体的服务器,这也是为什么DDoS甚至可以打垮一整个机房,但是是用任播(Anycast)技术就可以产生申请的效果。

任播(Anycast)技术可以使用多个 AS 号码在不同的地区广播相同的一个 IP 段,这就出现一个IP地址可以同时出现在全球任意一个国家,任意一个机房,注意是同时存在哦。

这样就可以让全球各个国家各个地域的流量虽然访问的是同一个IP但却流向了各自就近的不同机房中,得益于这样的技术,使得原本分布式的DDoS集合起来打一处,变成了各个区域的肉鸡各打各的,无法集中火力攻打一处,就使用分布式的方式解决了分布式的攻击。

Cloudflare号称拥有超过 51 Tbps 的网络防护容量,当然不可能是某个具体的机房,应该是所有机房加起来的总和,使用任播技术将流量调度到各个机房去。

中国国内电信云堤

中国电信的云堤我虽然不知道是否使用的是任播(Anycast)技术,但防御的原理是一样的,将各地的流量先导入电信云堤各地的机房,然后再转发到真实的源地址,当有攻击时,各个地域处理各个地域的攻击流量,这就防止了洪水般的的流量攻击到一处。云堤也号称可以开启无敌模式,打不死。


商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.renfei.net/posts/1003426
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!


本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!

关注任霏博客
扫码关注「任霏博客」微信订阅号
微博:任霏博客网
Twitter:@renfeii
Facebook:任霏
最新留言 优先级低的并不代表一定要等到优先级高的运行完才能运行,只是cpu分配的资源少了而已。 /lib64/ld-linux-x86-64.so.2: No such file or directory 报了这个错误,怎么解决呢 对于一个布道 DevOps 多年的选手来讲,看到这个报告,还是想继续布道布道。虽然是各种对比哈,但是我感觉与 DevOps 太像了(可能是职业病犯了哈)。首先声明本人不是GitLab 用户(因为不免费,没法薅羊毛啊),本人是 GitHub 忠实用户。 首先,你这是田忌赛马的对比,中文对比一事,着实有点可笑 1 土生土长和外来户能立马拉到同一个起跑线上吗? 2 一个真正的开发者应该去提升自己的英语能力,而不是拿全部是中文文档说事。大家都知道现在开源非常热,开发者是开源的主力军,如果要贡献优秀的开源项目(诸如Linux 内核,Kubernetes),英语就是个硬门槛。如果我是你,我倒希望公司内部的系统是英文的,最起码能让我锻炼英语,在看开源项目文档的时候不至于看不懂,提 PR 的时候不至于提交代码的内容描述不清楚而没法被 Merge。 其次,阿里云效、Coding 大家都知道背后站的是谁,很容易造成厂商绑定,现在很多企业都希望不要被厂商绑定。 再者,有一个点需要明白,GitLab 是一个 DevOps 平台,什么叫做 DevOps 平台(DevOps 走到现在,确切的说应该叫做 DevSecOps)?就是覆盖了软件开发生命周期全阶段的,从项目管理到代码托管到安全再到日志监控、甚至包含现在的云原生能力。不仅仅是说一个 CI/CD 就能概括的了的。这一点是 DevOps 布道的真正误区,我见过太多了,我在这儿再布道一哈,CI/CD 不等于 DevOps,他只是 DevOps 落地实践的核心能力。仅凭借一个 CI/CD 能有现成模版就判断出哪个好坏,过于牵强了吧。相信大家真正到项目用的时候,模版是满足不了要求的吧,毕竟大家都很特性化。 最后,还是一个很热的话题,开源,open source。GitLab 是开源的,Coding 和 云效这方面我没看到相关的开源内容(可能是我孤陋寡闻)。大家可以看看国内有多少用 GitLb 的,GitLab 的 CE 版,然后私有化部署,就是很多公司的代码托管 + DevOps 解决方案。 个人愚见,做一些对比报告的时候,还是先需要明白这个产品的定位,去深入挖掘一些真正有意义的对比,这样的对比报告才能有意义。作为一个常年写博客、文章的人来说。你写的每个字、每篇文章,你要想到你的思想会影响到别人。有可能因为你的片面之词,让别人错失一些学习的好机会。 docker run 那一长串后,出来一个字符串,然后去 docker containers 下面看 显示 exited(1);logs 下就一行错误 initdb failed 感谢🙏,第一个问题是空格的问题应该,我逐字敲完后可以构建了.第二个问题是我docker环境的问题,docker更新为最新版后需要重置配置文件.现已经正常使用,再次感谢您的分享和您的细心解答,期待下次相遇😄 还有一个问题可以请教下吗?就是我在容器里建文件夹没有权限,su root后密码不知道是多少,sudo mkdir xxx 提示我,没有sudo命令,请问有好的解决方法吗?谢谢解答 -v 后面可以指定文件吗 我的也是报错,还有。我执行了这个:@localhost kingbase-es-v8-r3-docker % docker run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3 docker: 'run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3' is not a docker command. See 'docker --help' 麻烦帮忙看下,是不是我写的命令有问题,还是版本问题,谢谢啦 请问我build的时候一直报错,是资源没了吗?failed to solve with frontend dockerfile.v0: failed to create LLB definition: failed to do request: Head "https://reg-mirror.qiniu.com/v2/library/centos/manifests/7?ns=docker.io": Moved Permanently 能不能在代码那里详细解释一下啊,没完全懂呀 en 按照路径上的来操作的,但是启动时一直报:zsh: no such file or directory: docker run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /Volumes/installation/opt/kingbase/data:/opt/kingbase/data -v /Volumes/installation/opt/kingbase/bin/license.dat:/opt/kingbase/Server/bin/license.dat kingbase:v8r3 错误