V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
shendaowu
V2EX  ›  奇思妙想

能否通过 ISP 禁止肉鸡联网,以便杜绝 DDoS?

  •  
  •   shendaowu · 2017-11-30 13:10:29 +08:00 · 2773 次点击
    这是一个创建于 2554 天前的主题,其中的信息可能已经有所发展或是发生改变。
    因为识别精度不高吗?怕用户无法理解这种机制,并且只能看到自己上不了网这个现象,从而认为 ISP 服务质量很烂吗?那么如果更智能一些呢?比如只禁止肉鸡到肉鸡正在攻击的服务器的连接呢?或者怕无法链接网络导致资金损失?当肉鸡风险更大吧?假如被攻击的是支付宝这种网站,网站可以选择不断开连接,以免对用户造成损失。反正有钱,估计被 DDoS 也能挺住。你有钱就是活该被 DDoS,天之道损有余而补不足。小网站肯定是更怕被 DDoS 吧?突然想到如果肉鸡的比例非常大的话,好像可以通过这种机制禁止大量用户联网?结果跟攻击服务器好像差不多?刚才搜了一下,没搜到肉鸡占所有计算机的比例。或者可以检测到肉鸡之后就给肉鸡的所有者发个短信,如果多次出现异常流量再禁止联网?或者就是因为这东西太复杂了实现成本太高了?或者类似红名单?
    9 条回复    2017-12-26 19:29:06 +08:00
    fcten
        1
    fcten  
       2017-11-30 14:01:15 +08:00
    如果被攻击者都无法判断并清洗异常流量,凭什么 ISP 能清洗?
    shendaowu
        2
    shendaowu  
    OP
       2017-11-30 15:31:39 +08:00
    @fcten
    更现实的问题在于,机房的总带宽有限。当你的服务器 IP 段受到攻击时,他会直接找上级接入商将发给你的包在主干网上都丢掉。此时虽然知道自己正在被 DDoS 攻击,但攻击包根本就没到机房,更别说服务器,于是只能是守着服务器,毫无流量,等待。
    上级接入商大多是垄断国企,根本没耐心跟你做任何深层次合作,直接丢包是最简单方便的方法。同时,即便此时攻击者停止了攻击,你也不知道。而想要上级接入商重新开启给你的包转发,动则就是个一天的流程。而一旦发现攻击还没完,就立刻又是丢包。

    作者:gashero
    链接: https://www.zhihu.com/question/19581905/answer/37397087
    来源:知乎
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
    shendaowu
        3
    shendaowu  
    OP
       2017-11-30 15:37:48 +08:00
    @fcten 上面的没反驳你。你说无法清洗异常流量是一点也无法识别吗?还是有一个比例?
    fcten
        4
    fcten  
       2017-11-30 18:15:49 +08:00
    @shendaowu 对于 ISP 来说,可以认为是完全无法识别
    shendaowu
        5
    shendaowu  
    OP
       2017-11-30 18:54:04 +08:00
    @fcten 如何被攻击者和 ISP 联合呢?让比较可信的网站共同维护一个可能是肉鸡的 IP 的列表。如果 ISP 和云服务商一起联合的话,甚至可以定位到 MAC 地址甚至是虚拟机实例吧?另外你说被攻击者无法识别能解释一下吗?我刚才搜了一下,没搜到相关的东西。另外如果真无法识别的话,那那么多讲解如何防御 DDoS 的文章存在的意义是什么呢?还有那些防御 DDoS 的服务也是骗人的吗?如果无法识别的话,那么防御也是不可能的吧?还有 DDoS 比爬虫还难识别吗?据我所知就算是模拟人工操作的爬虫都能被人工智能部分识别出来。
    marlboros
        6
    marlboros  
       2017-12-01 11:00:34 +08:00
    2010 年之后,基本就不在用肉鸡去 DDOS 了。
    现在一台发包机可以顶替 1000 只家鸡。
    目前一些 IDC 商做的是屏蔽一些国家特定机房的访问。
    现在大部分防御逻辑:判断这个时间段访问 IP 的发包数据。
    如果数据异常就会被屏蔽,DDOS 也是发送数据流。
    像国家骨干线路的大型云堤防御都结合着数于亿计的攻击代码
    大数据时代,有些事情不用那么繁琐。

    可以参考下入门级防御的案例,可以搜下:阿里云黑洞
    bao3
        7
    bao3  
       2017-12-01 15:05:16 +08:00 via iPhone
    说一个现实,isp 封杀 3389 端口,已经被解读成要组建局域网……所以技术上没问题,现实中不敢轻易做
    blackboar
        8
    blackboar  
       2017-12-04 09:11:31 +08:00
    识别难度太低,DDOS 只是一个概念,具体的技术细节各种各样,稍微变一点方式原来的规则就不能完全生效,误判几率很高;一秒请求 1000 次你可以认为它是攻击者,实际上现在很多 DDOS 的方式是量多请求少,模拟真实用户的请求方式,短时间内没什么办法,在以后的时间里通过大数据+SDN+运营商协作可能解决一部分。

    至于你说的那些方式,执行难度太大,比如检测之后发短信,第一检测难度大,第二发了短信用户不一定会处理,普通用户根本不知道你说的什么意思,没有能力处理;你要禁止人家上网这个涉及扯皮的问题就更多了,营业厅天天就跟人抬杠吧。

    DDOS 是网络性质决定它不大可能从技术上很容易解决的,非技术角度以外第一就是违法成本太低,第二是用户没有法律维权的意识,国内目前被 D 的多数是灰色、擦边球业务,本身不怎么受法律保护,被攻击了即不敢报警,也没意识到要报警,当然报警他们不一定有空来解决问题,但是这是个态度;你做个博客别人会攻击你吗,根据我多年的经验,我这边前几年每天有几十次流量攻击,近两年到现在一直是有下降趋势,因为这两年移动端的爆发,原来一些做私服等游戏的都没落了,所以现在攻击也很少,偶尔的几个我一看用户就知道他们做的什么东西,正规业务的用户很少碰到流量攻击,几乎没有。
    shendaowu
        9
    shendaowu  
    OP
       2017-12-26 19:29:06 +08:00
    @blackboar 又不是彻底禁止联网,只是禁止访问被攻击的网站。被禁止访问小网站对大部分用户又没什么影响。稍微大点的网站就可以让 ISP 不用保护自己了。或者目标用户是低端用户的小网站也可以不让 ISP 保护自己。最后那段你的意思是如果一种事物只对坏人有害,对普通人基本无害,那么这种事物就是不应该去除的?那艾滋病呢?不应该去除吗?艾滋病对普通人危害太大没有可比性?那可以治愈的性病呢?你要是将乱性看成是很好的事情那我也没辙,我想不出别的实际的例子了。还有据我所知使用云服务的时候被攻击一次就会被云服务商降低信用。不过我不敢确定,客服随口说的,我都没问,另外我感觉那个客服脑子好像有点问题。另外降低信用有什么影响我也不知道。还有看样子你是做 DDoS 防护服务的吧?你有没有假定你接触到的客户作为样本可以代表所有办网站的组织和个人?你有没有想过只有知道 DDoS 防护服务的人才能去找你们?一个小站长可能连什么是 DDoS 都不知道吧?当然这个可能性很小。还有有没有可能是你们的名声在灰产里比较好?你跟你们公司同类的公司里的人交流过吗?希望能提供一些更具代表性的样本来支持你的结论,或者请说明一下你接触到的客户作为样本的合理性。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1033 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:45 · PVG 05:45 · LAX 13:45 · JFK 16:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.