从用户角度谈谈攻击系列—DDOS

  概念没什么好多说的，DDOS攻击已经成为网络中流行的一种攻击方式，通过千万台肉鸡同时对目标进行访问造成目标带宽瞬间跑满宕机，直接影响公司业务。当然DDOS攻击的类型也很多，最近一直碰到ntp流量放大，宝宝心里苦宝宝不说。这种攻击方式还真没什么办法可以预防的，防DDOS无非以下几种办法：
     1. 增加带宽硬抗
     2. 接入第三方高防/流量清洗
     3. 下线服务

    第一种增加带宽硬抗对于大流量的攻击来说这种方法并不可取，原因么一是太烧钱啦,如果服务器性能不行带宽还没加服务器就可以挂了。再来看第二种也是现在比较多的方法，接入第三方高防或者流量清洗系统，以国内云厂商为例，先说下阿里云默认抗5G，有钱的话可以继续加，对小打小闹的攻击者来说可以防了，如果是针对性的还是建议接入流量清洗，高防的价钱实在太贵不建议每个月购买，如果长期受DDOS困扰可以考虑市面上的几家流量清洗，还是推荐大家用比较知名的厂商比如腾讯的大禹，蓝讯（价格比较贵）。不是很建议小厂商的虽然价格比较便宜，但是也听说过停止续费后恶意攻击的事件，少一点套路多一点真诚。。。第三种方法可以对非重要业务执行，因业务而异。

    如果什么都没接入的情况下受到了攻击，这里简单的讲述一下措施（以云主机为列）。

    短信收到攻击报警，提示流量超过防御范围。

    收到这种短信是人看了都会一抖，特别是业务高峰的时候。。云主机厂商为了保护自家的其他用户超过阈值会直接切断你的ip,此时页面就会一片白。

    紧急操作，通知相关负责人，替换新IP。

    购买新的IP，然后在域名厂商处立刻替换，等待生效，查看生效一般用到以下命令,ping,dig

    ping就不多说了,,绑定好以后开一个终端ping着就可以了.

    dig命令可以查看新的域名ip有没有生效，碰到业务有CDN的可以看是否回源完成（一般5-15分钟）。

 

   这里要讲下为何用了CDN还是被打到了源站IP，还是那句话攻击前的踩点很重要，通过ping,站长之家等各种手段可以查看到被攻击的站是否用了CDN甚至是哪一家CDN 。通过尝试ping一级域名泛解析尝试是否可以ping通，通过github上寻找是否有源站IP记录等等，只要有配置不当的地方找到源站IP还是很简单的，对于大流量的攻击拒绝服务也就是秒秒钟的事了。

本文始发于微信公众号（飓风网络安全）：从用户角度谈谈攻击系列—DDOS