“36氪挂了。”“过日子登不上去了。”“Enjoy也挂了。”从2015年7月22日开始,微信、微博中一片哀号。各软件运营者也纷纷在微博吐槽:由于合作的云服务商青云出现故障,导致在青云上的自家网站和App无法正常服务。
故障断断续续达到一天,于是人们纷纷猜测这次故障是由于DDoS攻击导致。不过,第二天青云在官方微博澄清,是由于采购自H3C的交换机出现了故障,导致无法正常服务,并且在微博上持续更新修复进度,直到23日晚上六点多才完全修复。之后,"罪魁祸首"H3C也在微博上前排谢罪。
事件虽然告一段落,却引发了小伙伴们的大讨论。这样一个由硬件损伤引发的事故,为什么被人们怀疑出现DDoS攻击?如果遭受真正的DDoS攻击,云服务商又有什么应急措施呢?
流氓+恶霸=核武器?
有安全专家曾经称:“DDoS是攻击中的核武器。”大面积的网络瘫痪,正是DDoS攻击的效果。加之最近DDoS的攻击数量在呈几何数级增长,人们内心深处对于这种核武器的恐惧可谓挥之不去。
核武器粗暴地毁灭一切;面对它人们陷入绝望、无计可施。那么DDoS攻击呢?包罗万象的雷锋网也曾经详细介绍过。(详情请戳:那个动不动就黑了我们服务器的DDoS到底为何物)简单来讲,就是攻击者联合多个计算机对目标服务器进行洪水般地围殴。
借用文中一个形象地比方
恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。
2013年,著名开源视频播放器 VLC 曾经惨遭DDoS 攻击,网站管理员利用工具制作了这个模拟攻击视频。无数流量集中火力倾泻到服务器上的场景,让人居然有点小激动啊。也许正因为这幅史诗般的图景,DDoS攻击也被人们称为美丽的恶行。理论上来讲,DDoS如果积攒足够数量的攻击力,可以干掉任何互联网业务。
土豪才防得起DDoS
针对互联网的攻击行为,已经进化到了精细化的地步。黑客可以潜入服务器,窃取机密信息,也可以进入金融账户,盗取真金白银。种种攻击行为当中,DDoS这种堵在门口骂街让人没法做生意的攻击可以说是最没技术含量的。不过,也正是因为这种攻击声势浩大,易取得敲山震虎之奇效。
腾讯云安全的负责人徐东山向雷锋网介绍,诸多地下的专业团队参与其中,使目前DDoS攻击成为一个庞大的产业,只要有钱,甚至一个普通人都可以借助这些灰色产业的力量进行DDoS攻击。安全厂商启明星辰副总裁欧阳梅雯曾经在网上公布一份资料,显示在2014年全球DDoS攻击的收入达到6亿美元,中国DDoS的市场约为3000万美元,这个数据是前所未有的。
徐东山同时透露,现在网上一次中等规模的DDOS攻击费用约在一万元左右。而这些钱并不会完全落入黑客自己的腰包,因为攻击中最重要的资源就是流量和带宽,这些资源都要真金白银地来买或租。所谓兵来将挡水来土掩,实施防御也需要巨大的流量。然而,我在明处敌在暗,敌人是游击队,战时为兵,入村为民;而我方要养常备军、正规军,自然是耗资不菲。
这样的游戏规则让小公司欲哭无泪。防御DDoS动辄就需要租用上百万人民币的带宽,而没有被攻击时,这些带宽就完全闲置。作为“土豪”的代言人,阿里巴巴安全专家云舒公开表示:“我不是说风凉话。大规模的DDOS防御,那种成本不是小公司扛得住的。”
没错,100万就是这么多
抗DDoS的武林江湖
面对DDoS攻击的棘手之处在于,大量地痞无赖夹杂在少数真正想买东西的商户中间无法分辨,这个时候便陷入了两难境地:掏钱死撑,王冠会掉;关门大吉,贱人会笑。
国内云安全服务商青藤的发言人告诉雷锋网,面对DDoS有两个基本的解决思路:
1、流量清洗——掐掉一部分攻击的流量,相当于揪出捣乱的无赖,踢出山门。
2、扩充带宽——扩大服务器的容量,相当于找来更多的客服美眉,接待每一位顾客。
有业内人士为记者做了一个形象的比喻:
理论上,青云这类云服务提供商就像是一个大商场,它把店面分租给各家公司。其中一家公司被围堵(DDoS),实际上青云并不负有责任。不过,在现在的市场竞争中,服务越来越重要。给客户提供较高级别的安全服务,是现在云服务企业的主流选择。而且,一旦黑客在商场的一个店铺里偷偷放了违反政策的小电影之类的货物,国家是会找商场算账的。从这个角度来说,为商户多配几个保安,也是大商场的必然选择。
那么,这些云服务提供商或云安全服务商,都有什么独门武器来对抗DDoS攻击呢?
青云
青云市场部的同事为雷锋网提供了他们的用户手册,其中有涉及各类DDoS的处理预案。其中之一便是通过青云提供的负载均衡器,将请求的压力分摊到后端 ,这样可以有效地把攻击流量分散到自家后院,然后各个击破。
腾讯
而作为云安全市场的巨头腾讯也有自己的独特心得,腾讯云安全负责人徐东山告诉记者,面对各类花式DDoS,各家云安全企业采用的基础应对措施都是相似的。譬如总共有10种路线应对攻击,A公司可能采用1、2、3,B公司可能采用2、3、4。另外腾讯还推出了一个名叫“大禹”系统的防护产品,当遇到超大流量攻击时,大禹系统会根据攻击的实际的影响情况,通过修改域名的解析结果,使得正常业务流量快速分摊到未受影响的节点上去。待受影响修复后,大禹系统自动将节点上线导入业务流量。总体来讲是用游击战的战术对抗DDoS攻击。
雷锋网(公众号:雷锋网)了解到,腾讯云安全拥有一个独特的优势,那就是装机量巨大的腾讯电脑管家。如果一台装有电脑管家的电脑被黑客控制发起了DDoS进攻,那么管家会自动掐断它的流量请求。
在抗DDoS攻击的神器中,有一种Bug般的存在,那就是骨干网。骨干网是物理上连接各大城市之间的光纤网络,移动、联通、电信这三巨头是主要的骨干网络提供商。简单来说,骨干网的带宽已经达到了开挂的程度,能够抵御绝大部分的DDoS攻击,腾讯云安全也在和骨干网运营商合作,一旦遇到超负荷的数据请求,便会把流量引向骨干网的“汪洋大海”。
中国电信
令其他安全企业感到悲伤的是,中国电信可没有安静地做一个世外高人,就在不久前,中国电信也推出了自己的安全产品:“云堤”。坐拥骨干网络的电信,根本用不着推测发起攻击的IP,直接顺着自家光缆就可以摸到攻击发起的位置,直接掐住攻击者的的喉咙。电信云堤产品负责人刘紫千告诉记者:“通过分析电信全网的路由器数据,可以判断是从境外发起还是从国内其他运营商发起,并定位发起点是哪一家运营商、哪一个城市甚至是IDC机房,从而调度设备进行流量清除,电信攻击防护能力理论上无限大。”
话说到这个程度,应该为这个武林争斗画上句号了。不过,能用得起骨干网络防DDoS攻击的企业,怕是两只手就能数得过来吧。
说到底,如果说DDoS和核武器最大的共同点,就是他们都需要大把的烧钱。面对DDoS这样的恶魔,如果想要降服它,拼的还是兜里的钞票。土豪的世界很危险,屌丝还是赶快回家吧。世界就是这么残酷。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。