这是一个创建于 2377 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如一些大厂的 cdn,在网站遭遇到攻击后,很快就会给你发警告邮件,这个是如何做到的呢,ddos 的话是直接像服务器发包,大厂的 cdn 一个节点上面肯定会有很多站,该如何区分是哪个站遭到的攻击?
个人猜想:
把可疑网站单独解析到一些特殊 ip 上,看攻击会不会迁移到某个特殊 ip 上,来区分是某个网站遭遇的 ddos。
个人猜想:
把可疑网站单独解析到一些特殊 ip 上,看攻击会不会迁移到某个特殊 ip 上,来区分是某个网站遭遇的 ddos。
 |
1
caola 2018-05-18 19:19:34 +08:00  1
使用他的域名解析或 CNAME 他的地址,再综合哪个域名的解析请求异常增多,这就很容易找出来了
|
 |
2
letitbesqzr OP @caola #1 使用大批肉鸡发起的 ddos 的话,这样的确可以找到。但是也有那种有小量几台 g 口的发包服务器,这样解析请求不会有多少增加吧,这样的攻击有办法找出吗?
|
|
3
caola 2018-05-18 19:38:28 +08:00
@letitbesqzr 这种情况是有的,但大厂 CDN 吃素的啊,直接从路由就把它 ban 掉,如果流量超过了防御能力,还有运营商联动黑洞,从运营商级的路由 ban 掉发包 IP
|
|
4
letitbesqzr OP @caola 了解,国内大厂的确挺能扛,几百 g 都能扛过去。但是遇到这种攻击就没法确定是某个站被攻击了么?能确定的话直接给他回源是否可以降低很多成本,毕竟防御成本也是挺高的,对于免费用户没必要去花那么大成本扛着吧。
|
 |
5
kslr 2018-05-18 20:43:58 +08:00 via Android 1
什么鬼 不是有日志吗
|
 |
6
LanFomalhaut 2018-05-18 20:47:09 +08:00 1
就攻击者角度来说 要的是 CDN 服务商知道哪个域名被打了然后回源,所以一般会打一波 CC 攻击来告知 CDN 服务商.
之后 DDOS 跟一波上来 服务商这边查起来很方便.. 对于直接 D 的就分析解析日志,流量二分调度等来处理了。 |
|
7
letitbesqzr OP @kslr #5 #5 cc 攻击才能在访问日志里面找到, ddos 一般走 udp,解析到域名对应的 ip 后直接向 ip 发包,无法记录来自于哪个域名。
|
|
8
letitbesqzr OP @LanFomalhaut #6 #6 有道理,ddos 的时候会直接干目标,而不是和 cdn 厂商纠缠。
|
 |
9
geekzu 2018-05-19 14:47:22 +08:00 1
共享 ip 被打黑洞之后,给这个 ip 上的所有网站分配单独 ip,再有 ip 被黑洞就是目标站点了
|
Select Language