一个笨拙的抵挡 DDoS 的方法

2018-08-19 14:06:37 +08:00

kongque2016

我的 vps 上架设的是论坛，我想到一个方法来抵挡 DDoS 攻击，下面是步骤：

1，事先给 TCP 连接数设一个上限，发现被突破了，就认定为有人在 DDoS。
2，检查当前所有 http 连接，如果是注册会员，则把相应 IP 送入紧急白名单。否则，断开连接。
3, 接收到新的 http 访问时，核对其 IP 是否在白名单里。如果不是，转向一个登录（或注册）页面，要求他 3 分钟必须登录进来，否则禁掉这个 IP。

这个方法的 bug，我现在想到有两个：
1，DDoS 的攻击者是不是能轻易伪造自己的 IP 呢，如果这样的话，这个方法就没意义了。
2，我 VPS 的防火墙禁了这些 DDoS 的 IP，是不是照样的产生流量。就是说，禁 IP 虽然能保全 VPS 自己，但网络端口照样有大量 IP 包涌过来(虽然我不收），网络照样被堵住？

我对 DDoS 不熟悉，这个方法是凭空想出来的。请大家轻拍～

14556 次点击

所在节点

Linux

105 条回复

liuyanjun0826

2018-08-19 19:43:37 +08:00

@qiukong 这人是开玩笑，请他 ddos 我

blackhacker

2018-08-19 19:50:59 +08:00

都已经 DDoS 了还黑名单白名单有意义吗？

XiaolinLeo

2018-08-19 19:58:05 +08:00

@kongque2016 会给你封机器...

singerll

2018-08-19 20:02:39 +08:00

ddos 走的是 icmp 吧，应该是在二层，你在四层 tcp 和七层 http 能防住？

OneNian

2018-08-19 20:08:43 +08:00

为什么很多人都把 DDoS 和 CC 分开了，DDoS 是一个大概念，CC 也是一种 DDoS 攻击吧

std

2018-08-19 20:10:48 +08:00

那些所谓的“服务器防火墙”软件大致也是这种原理，对于小流量攻击能有一定效果，可是流量大了就吃不消了。

2018-08-19 20:12:10 +08:00

建议楼主按自己的方案部署好，然后把 ip 贴出来，很快你就知道有没有用了。

liuyanjun0826

2018-08-19 20:18:43 +08:00

@loading 估计不行啊，他要是把他自己服务器到期当成有人 ddos 他就麻烦了，说不清了

abmin521

2018-08-19 20:28:38 +08:00

@yexm0 同行攻击么

yexm0

2018-08-19 20:35:05 +08:00

@abmin521 不清楚了，他们说不知道是谁干的。没人留狠话，也没人来要钱，就无端端被打了。

defunct9

2018-08-19 20:50:24 +08:00

被 D 的很惨，两种做法，和上级 bgp 协商直接扔到 bgp 的黑洞里，这个过程其实很有趣，涉及网络的 bgp community 广播，但是，自己的 ip 也废了。第二种，发现 ddos，同样通过 bgp 把流量牵引到清洗厂商，再把清洗过的流量用 gre 隧道引回来，当然，你也可以自己清洗。大多数人其实都没有实地干过，国内环境根本不允许你 bgp peer。

caola

2018-08-19 20:53:15 +08:00

DDOS 包含了 CC 攻击，CC 只是属于 7 层攻击，
7 层以下的攻击，基本都只能拼宽带

cherryas

2018-08-19 21:03:26 +08:00

关机黑洞了解一下

nciyuan

2018-08-19 21:41:24 +08:00

另外给楼主解释一下，社会人来你家，不打你，就赌楼道，想要找你的朋友到不了你家，因为楼道有宽度，这叫 DDoS
@keramist 大哥，你真牛逼乎，我这 1G 内存的树莓派都能;5-10QPS

wqyyy

2018-08-19 22:26:04 +08:00

@kongque2016 像 conoha 听说会热心地帮你封号不退钱...
https://blessing.studio/mail-log-to-conoha-user-center-after-ddos/
> 谢谢，说得好明白。不过我又有一个问题，这样一来，我的 VPS 托管厂商难道检测不到？它攻击我的 VPS，必然要经过 VPS 厂商的物理网卡进来，对 VPS 所在的整个物理主机都有冲击吧？ VPS 厂商为了不影响其它 VPS，会不会帮我做点儿什么？

tulongtou

2018-08-19 22:29:50 +08:00

@kongque2016 vps 厂家会把你 ip 停掉的

Loyalsoldier

2018-08-19 22:36:22 +08:00

上面几乎没人能完整说明白 DDos 和 CC 的关系……

DDos 大类型包括两种：带宽消耗型攻击和资源消耗型攻击。而 CC 攻击属于资源消耗型攻击，也就属于 DDos。在开始讨论解决方案之前，先把概念厘清应该比较有助于各位理解并统一共识。

DDoS 概念解读请参考维基百科： https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A

以上

akira

2018-08-19 23:22:32 +08:00

@kongque2016 谢谢，说得好明白。不过我又有一个问题，这样一来，我的 VPS 托管厂商难道检测不到？它攻击我的 VPS，必然要经过 VPS 厂商的物理网卡进来，对 VPS 所在的整个物理主机都有冲击吧？ VPS 厂商为了不影响其它 VPS，会不会帮我做点儿什么？
------------------------
会的，把目标是你的 ip 的所有数据包进黑洞

opengps

2018-08-19 23:36:14 +08:00

在有防御的的云环境下，DDOS 的流量根本不到你服务器，所以这些方法无效
举例说，我服务器网卡才 1000M,但是攻击我的流量往往 10G 起步，应该说真有攻击来了，几乎没有多少正常到达服务器的流量

Clarencep

2018-08-20 08:54:53 +08:00

"DDoS 是直接发包的, 根本不会达到应用层" +1

第 5 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/481157

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.