近半年，隨著軟硬件服務(wù)的廉價(jià)化、規(guī)?；?，國(guó)內(nèi)外云廠商頻繁遭受不明原因的大規(guī)模網(wǎng)絡(luò)攻擊，給很多網(wǎng)站帶來(lái)了不良的影響。其實(shí)，DDoS 攻擊這把「達(dá)摩斯之劍」一直高懸在各家互聯(lián)網(wǎng)公司的頭頂，雖然很多互聯(lián)網(wǎng)企業(yè)對(duì) DDoS 攻擊都是深惡痛絕，不過(guò)，到目前為止，很難從技術(shù)層面進(jìn)行徹底的解決，原因就在于 DDoS 其實(shí)是一種合法的「攻擊」。

[[150261]]

什么是 DDoS 攻擊?

DDoS(Distributed Denial of Service) 也稱之為分布式拒絕服務(wù)，指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng) DDoS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。簡(jiǎn)而言之，DDoS 攻擊就是通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的目的。

我們可以看看國(guó)內(nèi)外有哪些比較經(jīng)典的 DDoS 攻擊案例：

2013年3月創(chuàng)記錄的300 Gbps，Spamhaus、 CloudFlare 遭到攻擊，被評(píng)價(jià)為「差點(diǎn)癱瘓歐洲網(wǎng)絡(luò)」的攻擊事件。

2014年2月創(chuàng)紀(jì)錄的400 Gbps，攻擊對(duì)象為 CloudFlare 客戶，據(jù)稱當(dāng)時(shí)包 括4chan、維基解密在內(nèi)的78.5萬(wàn)個(gè)網(wǎng)站安全服務(wù)受到影響。

2014年3月底， Anonymous 黑客組織發(fā)動(dòng)了大規(guī)模的 DDoS 攻擊，導(dǎo)致該索尼公司的 PlayStationnetwork.com 網(wǎng)站一度無(wú)法訪問(wèn)。索尼公司所稱，DDoS 攻擊過(guò)程中，索尼的 PSN 服務(wù)服務(wù)器被攻破，造成7700萬(wàn)用戶數(shù)據(jù)被盜。

在2014年12月20-21日間，部署在阿里云上的某知名游戲公司，遭遇了全球互聯(lián)網(wǎng)史上最大的一次 DDoS 攻擊，攻擊流量峰值達(dá)每秒453.8Gb，仍是一個(gè)刷新排行榜的「巨大」數(shù)字。很多人都不知道這個(gè)數(shù)字的概念，要知道國(guó)內(nèi)一些中小城市總的帶寬也不一定有 450G，也就是說(shuō)，如果這么大的流量打到某個(gè)城市的 IP 上，這個(gè)城市就要斷網(wǎng)了。

DDoS 攻擊造成的影響和后果

也許你覺(jué)得 DDoS 攻擊都是大公司才會(huì)遭遇的問(wèn)題，那你就「大錯(cuò)特錯(cuò)」了。現(xiàn)在 DDoS 攻擊成本極低，甚至已經(jīng)形成了產(chǎn)業(yè)鏈，一些黑客明碼標(biāo)價(jià)。比如，打1G 的流量到一個(gè)網(wǎng)站一小時(shí)，網(wǎng)上報(bào)價(jià)只需50塊錢。之前，國(guó)內(nèi)就有一家 P2P 網(wǎng)貸的網(wǎng)站 CEO 為了打擊競(jìng)爭(zhēng)對(duì)手，雇傭黑客發(fā)動(dòng) DDoS 攻擊，導(dǎo)致對(duì)方業(yè)務(wù)全線癱瘓。

我們還可以看一些權(quán)威數(shù)據(jù)，DDoS 防護(hù)服務(wù)市場(chǎng)領(lǐng)導(dǎo)者 Black Lotus 發(fā)布的報(bào)告顯示，全球大型服務(wù)提供商都飽受各種 DDoS 攻擊。攻擊范圍非常廣泛，涵蓋各行各業(yè)，其中64%的平臺(tái)提供商受到 DDoS 攻擊影響，66%的托管解決方案提供商和66%的 VoIP 服務(wù)提供商受到影響。

DDoS 攻擊會(huì)造成非常嚴(yán)重的影響，61%的各類型服務(wù)提供商因被攻擊而威脅到正常的商業(yè)運(yùn)作，甚至造成利潤(rùn)流失或者客戶隱私被竊。

來(lái)自卡巴斯基的調(diào)查分析顯示，38%的 DDoS 攻擊的受害者無(wú)力保護(hù)其核心業(yè)務(wù)免遭攻擊。攻擊也能影響信用評(píng)級(jí)以及保險(xiǎn)費(fèi)。一個(gè)單一的 DDoS 對(duì)公司的在線資源的攻擊可能會(huì)造成相當(dāng)大的損失，平均的數(shù)字根據(jù)公司規(guī)模的不同，大概從52000美元到美國(guó)444000美元不等。

其實(shí)，如果僅僅是對(duì)資產(chǎn)造成影響還可以接受，但是很多時(shí)候，DDoS 攻擊帶來(lái)的間接影響是非常可怕的，因?yàn)楹芏嘤脩舨⒉恢?，他們只?huì)覺(jué)得這家公司服務(wù)不好，并且會(huì)造成合作伙伴和客戶無(wú)法進(jìn)行網(wǎng)絡(luò)訪問(wèn)的情況，甚至?xí)?duì)公司聲譽(yù)造成致命的打擊，這是用金錢無(wú)法衡量的。

常見(jiàn)的 DDoS 攻擊解決方案

在云計(jì)算時(shí)代，對(duì)于任何 DDoS 攻擊而言，需要的不是防御方案，不是某一個(gè)安全設(shè)備，而是是一個(gè)快速響應(yīng)的機(jī)制，一個(gè)團(tuán)隊(duì)，是一個(gè)能夠做迅速做系統(tǒng)分析，快速做出決策的團(tuán)隊(duì)。從目前來(lái)看，雖然降低 DDoS 攻擊的影響并非易事，但是我們也要主動(dòng)采取措施進(jìn)行避免。一般而言，我們常見(jiàn)的防御方案如下：

• 多域名備份;
• 每個(gè)域名的接入服務(wù)器分別部署在不同的主流云系統(tǒng)上，并分別使用 CDN;
• 在云之間架設(shè)隧道 VPN，服務(wù)器相互之間通過(guò) VPN 做數(shù)據(jù)同步和心跳;
• DDoS 發(fā)生后可能短時(shí)間無(wú)法完全防御，因此要有保證最小服務(wù)的生存的意思。例如：留1-2個(gè)站點(diǎn)作為不對(duì)外提供服務(wù)的冗余節(jié)點(diǎn)，并做好保密措施

那么問(wèn)題來(lái)了，如何快速分析大面積受限服務(wù)的原因呢?如何能幫助云服務(wù)廠商和客戶構(gòu)筑一個(gè)快速響應(yīng)機(jī)制呢?首先，我們需要確定是由于 DDoS 攻擊，還是因?yàn)樵O(shè)備故障。然后再想方設(shè)法幫助云平臺(tái)客戶快速響應(yīng)，及時(shí)跟云服務(wù)廠商溝通，進(jìn)而采取相應(yīng)的備選方案。

如果是 DDoS 攻擊，及時(shí)求助云廠商過(guò)濾可疑攻擊源地址，或采用應(yīng)急備份服務(wù);如果是網(wǎng)絡(luò)硬件問(wèn)題，云服務(wù)商就可以根據(jù)客戶反饋快速甄別是否是外部問(wèn)題，這樣會(huì)極大降低客戶的損失，并且保障好公有云(IaaS)廠商的服務(wù)質(zhì)量。

本文節(jié)選自O(shè)neAPM新聞如何更早地發(fā)現(xiàn) DDoS 攻擊？