V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cokar
V2EX  ›  服务器

通过后端代码判断屏蔽恶意请求来对抗 DDOS 攻击有用吗?

  •  
  •   cokar · 2022-07-17 23:52:28 +08:00 · 2250 次点击
    这是一个创建于 860 天前的主题,其中的信息可能已经有所发展或是发生改变。

    假设我可能遇到一场普通的 DDOS 攻击,攻击流量大概 30~60G ,阿里云服务器默认只保护 5G 流量,超过的就打不开了,基本上一打就死。一般要防御都是上高防 IP ,那样费用也很高。

    如果我采用 web 后端代码,通过自己的一些算法能识别出非法请求,然后对非法请求响应空内容,这样能起到防御 DDOS 的作用吗?

    因为我响应内容为空,就算加上响应 header 里有一点数据,也不会有多少响应流量,相比正常的网页应该大大减少了响应的流量,这样我就能应对更大的流量攻击。我这样分析对吗?

    16 条回复    2023-08-15 15:18:09 +08:00
    geeglo
        1
    geeglo  
       2022-07-17 23:58:44 +08:00
    完全没用。
    learningman
        2
    learningman  
       2022-07-18 00:01:43 +08:00 via Android
    你这防的是 CC ,DDoS 进来路由器都崩了
    y830CAa5nink4rUQ
        3
    y830CAa5nink4rUQ  
       2022-07-18 00:08:41 +08:00
    进来的流量超过 5Gbps ,阿里云直接把你网络断开了,你服务器接收到的请求数量是 0 ,你识别个啥?
    x86
        4
    x86  
       2022-07-18 00:13:22 +08:00
    能防住 DDOS 只有加钱
    Inn0Vat10n
        5
    Inn0Vat10n  
       2022-07-18 00:16:57 +08:00
    ddos 和你咋响应没关系,都没到应用层
    Aloento
        6
    Aloento  
       2022-07-18 00:19:28 +08:00
    DDOS 请加钱清洗流量
    westoy
        7
    westoy  
       2022-07-18 00:25:03 +08:00
    完全没用, 就算关机一样能把被攻击目标和被攻击目标的邻居一起打爆
    djoiwhud
        8
    djoiwhud  
       2022-07-18 00:30:06 +08:00 via Android
    没用。

    d 防护只有两个办法

    1.用钱解决
    2.狡兔三窟
    ashine
        9
    ashine  
       2022-07-18 00:31:28 +08:00
    ddos 打的流量靠的是进入的方向,和你网站响应的出流量完全没关系,因为 http 的先天特性,网站是没办法拒绝进来的流量的
    cheng6563
        10
    cheng6563  
       2022-07-18 09:20:39 +08:00
    直接把境外 IP 全 ban 了
    cokar
        11
    cokar  
    OP
       2022-07-18 14:28:16 +08:00
    我看下网上有的说 Nginx 做一些设置或安装相应模块可以应对 DDOS ,实际上是不是也没啥用?
    xlh001
        12
    xlh001  
       2022-07-18 14:29:56 +08:00
    没有用的,你入口网络量一到限制就直接进行黑洞了,流量压根都不会到机器上
    killva4624
        13
    killva4624  
       2022-07-18 14:31:05 +08:00
    没用,楼主想的是在应用层做处理,但实际上在网络层就直接把你资源打挂了。
    比如最近有恶意客户总想来西点店询问油条多少钱,楼主的想法是让前台学会分辨,一但不是开卖西点的就不管。实际上恶意客户会把你的整个门店甚至门店周围两条街都塞满人,哪怕你的前台再聪明能分辨,也无济于事。
    LLaMA2
        14
    LLaMA2  
       2022-07-18 15:50:34 +08:00
    @cokar
    他们说的都对,可是这些词汇对于您来说可能不太明白,那么,就让我讲一些简单的吧。
    您可能有听过禁 ping 来保护安全,OK ,这完全没问题,那么服务器断禁 ping 了,别人 ping 您的
    服务器,从他那里发出来的 ping 数据包难道就不存在了吗?很显然,他事先也不知道您的服务器
    这边能不能 ping 通,所以数据包必然会经过层层的网络设备(他的电脑->他的光猫->ISP 的各级网络设备....->您服务器的机房入口网络设备->服务器所在机柜的网络设备->您的服务器)
    你看,你仅仅是在您的服务器这里设定了一些规则,很显然其他的网络设备完全没有其他限制啊,那么这个数据包就以上的说法来看,必然会到达您服务器所在的机柜上那个网络设备(也许他是一台交换机)。
    假设这台交换机能承载 10G 的网络流量,即便您机房的网络带宽可能高达 9999999G 的网络带宽(哪有这么大的呢!),如果别人能打出大于 10G 的流量,你的机柜交换机就要罢工了,这时候你服务器完全 OK ,CPU 、IO 占用率可能是 2%,可上层网络罢工,你再好也没法和外面交流啊。我亲爱的 OP ,这下,您应该有一些一知半解了吧。
    cokar
        15
    cokar  
    OP
       2022-09-11 21:34:47 +08:00
    @ye4tar 非常感谢你的解答,了解了
    idc906
        16
    idc906  
       2023-08-15 15:18:09 +08:00 via iPhone
    流量一进来阿里云就给拉黑洞了,都进入不到你的服务器,我这边是做安全的,阿里的带宽比较贵,所以他们防 DDOS 成本也高的,如果还有遇到攻击的问题,可以试试我们的,好用不贵可以测试 微 idc906
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1082 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 19:09 · PVG 03:09 · LAX 11:09 · JFK 14:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.