V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
SillyGod
V2EX  ›  宽带症候群

一直很好奇, ddos 真的无解嘛?

  •  
  •   SillyGod · 2023-11-09 13:55:17 +08:00 · 4363 次点击
    这是一个创建于 384 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这两天 OpenAI 说被 DDOS 导致服务不行。 这么大的公司,还是全球提供服务的,都能被 DDOS 成这样。 攻击者的成本很低吗?(打成这样一天能要几万吗?) 如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢? 还有 Azure 的 ChatGPT 很稳,是因为世界上没有人可以把微软服务器 DDOS 废吗? 如果 70 亿人同时访问呢?假如 70 亿人同时访问,都不会挂,是不是地球上没有生物可以 DDOS 掉微软了?

    小白不是很懂网络,一直感觉 DDOS 仿佛是个无敌的技能(除非抓住始作俑者) 求赐教。

    35 条回复    2023-11-17 09:28:19 +08:00
    retanoj
        1
    retanoj  
       2023-11-09 14:04:03 +08:00
    的确不好解决
    thinkm
        2
    thinkm  
       2023-11-09 14:06:11 +08:00
    DDOS 无解,只能用带宽硬扛
    Lightbright
        3
    Lightbright  
       2023-11-09 14:12:08 +08:00 via Android   ❤️ 2
    #全球 70 亿人访问不挂是不是就无敌了

    不是的,利用一些技巧可以使攻击流量放大很多倍,能产生 200 亿人同时访问的效果

    例如前几天的 rapid reset 攻击
    dzdh
        4
    dzdh  
       2023-11-09 14:12:23 +08:00
    DDoS 无解。只能跟对方拼带宽。成本也没几个钱(相对看攻击的目标)
    itskingname
        5
    itskingname  
       2023-11-09 14:23:53 +08:00
    每天从境内访问境外的数据流量也极其庞大,但是 GFW 却没有受到 DDoS 攻击的效果。所以应该有办法规避。
    sentinelK
        6
    sentinelK  
       2023-11-09 14:40:39 +08:00
    "攻击者的成本很低吗?"
    相对攻击效果而言,很低。入流的 DDoS 攻击并不是肉鸡、虚拟机直接给服务器发请求这么简单。可以通过一些手段放大攻击压力。(具体方法详见互联网,恕不赘述)

    "如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢?"
    DDoS 预防大于防御。

    “一直感觉 DDOS 仿佛是个无敌的技能”
    也不是,关键看被攻击者的经营策略。如果受害者想在自身业务完全不受影响的情况下,完美防御 DDoS ,确实不现实。
    EchoUtopia
        7
    EchoUtopia  
       2023-11-09 16:17:31 +08:00
    想到一个方法可能可以缓解,可能比较天真:服务器压力大的时候,服务器每秒出若干个工作量证明题,并定时刷新和淘汰题目,服务器随机发送题目给客户端,这段时间,客户端必须发送题目 id 和答案给服务器,从而增加客户端成本。对于新建连接,客户端发起 syn 后,服务器的 ack 包含题目,第三次握手必须给出答案。这种方式也可以供服务器提供商识别自己有很多资源被当作肉鸡了。服务器没有恶意出题的目的,因为这种方式会增加客户端体验变差,不愿意去连接。
    yyzh
        8
    yyzh  
       2023-11-09 16:25:47 +08:00 via Android
    @EchoUtopia DDoS 分 DD 和 CC.DD 是一大堆无用流量一起攻击,上级路由都处理不过来了那你服务器搞其他乱七八糟的全部都没用.因为首先你得能发得出去和能接收数据
    nicoljiang
        9
    nicoljiang  
       2023-11-09 16:28:20 +08:00
    @EchoUtopia 你这个只能缓解 CC 攻击,真正的 DDoS 是分布式流量攻击。是滔天的洪水、海啸。
    07212423
        10
    07212423  
       2023-11-09 16:28:56 +08:00
    openai 应该接在 cloudflare 后面的,cloudflare 应该扛 ddos 很有经验才对
    orlog
        11
    orlog  
       2023-11-09 16:35:14 +08:00   ❤️ 1
    单纯针对网络的 ddos 攻击可以通过流量清洗减轻很大影响,因为攻击者的大部分肉鸡或者发包模式都能被黑名单过滤,但是针对具体服务的 cc 攻击很难防御,因为攻击者只需要相对很少的流量,却能造成很大的后端运算消耗
    cyp0633
        12
    cyp0633  
       2023-11-09 16:50:48 +08:00
    @EchoUtopia 这不就是 Cloudflare 的 challenge 在做的事情嘛
    shellcodecow
        13
    shellcodecow  
       2023-11-09 16:56:03 +08:00
    流量清洗还是可以的, 一边是服务加速 一边是硬抗 没其他方法。 对方攻击也要成本的,清洗以后的流量想要走正常流程,开启校验能再进来,成本也是不少。
    wangj00756
        14
    wangj00756  
       2023-11-09 17:00:32 +08:00
    @07212423 大力飞砖,你再有经验也没用啊,这个真没办法
    cdlnls
        15
    cdlnls  
       2023-11-09 17:07:25 +08:00
    应该是 CC 攻击,openai 应该是放在 cloudflare 后面,ddos 的流量攻击主要的还是给到了 cloudflare 。如果是 CC 的话,清洗也会有漏掉的,量大的情况下后端还是会有消耗更多的计算资源。
    gps949
        16
    gps949  
       2023-11-09 17:11:16 +08:00
    其实就类似无线电干扰。单纯的资源对抗。一切的奇技淫巧在绝对的资源优势面前都苍白无力。所以唯一对 DDoS 绝对有效手段就是:不公开服务。。。
    idclight
        17
    idclight  
       2023-11-09 17:31:23 +08:00   ❤️ 1
    @itskingname 有没有一种可能,墙是旁路而不是串在里面?
    EchoUtopia
        18
    EchoUtopia  
       2023-11-09 19:11:56 +08:00
    @cyp0633 看来我不是在瞎想,如果底层协议就考虑这些应该会好很多。
    @yyzh
    @nicoljiang 搞个 dados 呢,distributed anti-dos ,支持工作量证明题传播,在边缘处验证
    yyzh
        19
    yyzh  
       2023-11-09 19:55:28 +08:00 via Android
    @EchoUtopia 简单点你把 DD 当成是服务器网线被拔就行.你现在所设想的一切都有一个前提就是你能收到请求.而 DD 所做的是使你收不到任何请求.
    yolee599
        20
    yolee599  
       2023-11-09 20:42:57 +08:00 via Android
    @EchoUtopia #7 不可行,因为大量的 IP 包会往你服务器发,不管你要不要都往网卡里怼,直接占满你的网卡队列。这时候除了关机或拔网线没有其他办法
    plasticman64
        21
    plasticman64  
       2023-11-09 20:46:39 +08:00
    cloudflare 不能完全阻挡 ddos 吗?
    jiangzm
        22
    jiangzm  
       2023-11-09 20:52:12 +08:00
    @itskingname #5 此言差矣
    hanierming
        23
    hanierming  
       2023-11-10 08:48:58 +08:00
    @itskingname 但是墙并不负责处理数据,只是传输数据。openai 需要调用各种内部服务,消耗内部资源。
    JerryYuan
        24
    JerryYuan  
       2023-11-10 09:14:00 +08:00 via Android
    @itskingname 之前看文了解过 GFW 还不是简单的过滤器,每个包都验证一下再放行。GFW 用的好像是旁路攻击的手段,把流量镜像一份,在旁路上开集群搞你,没问题的包就忽略,什么都不做,有问题的包就给你回个不可达的包,就欺负境外服务器路上时间长给你截胡了。(原理听起来可以抗更大流量,但是不是真的有待考究)
    WashFreshFresh
        25
    WashFreshFresh  
       2023-11-10 09:50:27 +08:00
    那是所谓的同行攻击的吗,才可能有利可图,这么大量都是哪几方操纵的?
    kenneth104
        26
    kenneth104  
       2023-11-10 10:17:32 +08:00
    工作相关

    1 ,攻击成本低于防御成本
    2 ,除了服务器前端的墙,还有其他防御,但几大提供商都死过你就知道防不住
    3 ,曾经朋友找到 X 信云墙 ( X 堤),但被劝退,防不住
    nicoljiang
        27
    nicoljiang  
       2023-11-10 14:22:03 +08:00
    @EchoUtopia 你说的大概就是 anycast 吧
    EchoUtopia
        28
    EchoUtopia  
       2023-11-10 17:01:52 +08:00
    @yyzh @yolee599 你们说的基于现有的基础设施的问题,我觉得重新设计是可以解决的。

    @nicoljiang 感谢科普,我去了解下,之前说的都是自己瞎想的
    sakura6264
        29
    sakura6264  
       2023-11-10 18:46:08 +08:00
    @itskingname 有没有可能一般用户没那么有钱
    letmefly
        30
    letmefly  
       2023-11-11 15:16:35 +08:00
    ddos 是不是靠控制肉机来进行攻击?
    yxmyxmyyy
        31
    yxmyxmyyy  
       2023-11-12 09:18:54 +08:00 via Android
    好奇 openai 不是套了 cf 吗,应该可以防 dodos 吧
    SillyGod
        32
    SillyGod  
    OP
       2023-11-12 21:20:45 +08:00
    @yxmyxmyyy cf 都能被打烂,而且很多次了。op 还真就是套着 cf 被打烂的。
    hubaq
        33
    hubaq  
       2023-11-16 18:14:52 +08:00
    200G DDOS 的成本可能也就千八百块,但你向运营商买 200G 的带宽可不止几百万了
    hubaq
        34
    hubaq  
       2023-11-16 18:18:41 +08:00
    @kenneth104 电信云堤都防不住,那这市面上也没人能防住了
    kenneth104
        35
    kenneth104  
       2023-11-17 09:28:19 +08:00
    @hubaq 抗不了的。。他自己就有几百 G 的防御,不行,找了几个同行,不行,找 x 信,不行。。。。
    最后不知道是没做了还是怎么样
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5447 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 08:09 · PVG 16:09 · LAX 00:09 · JFK 03:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.