关于防治DDoS的一个想法

134次阅读

共计 1319 个字符,预计需要花费 4 分钟才能阅读完成。

首先声明没有经历过 DD,只是了解了一些基础知识,纸上谈兵想让大家看看问题在哪。
假设:
前端一台 1Gbps 带宽 VPS,不存放数据,只设置了 nftables 转发所有请求至后端服务器;
后端一台 2.5Gbps 带宽 VDS,存放所有数据;
DNS 解析全部填写前端 IP,并假设后端 IP 不被泄露,攻击者对前端 IP 发起攻击。
当前端 VPS 带宽被 DDoS 堵塞崩溃时,由于前端已崩溃,转发数据包总量维持在前端带宽阈值,理论上后端宽带没有达到阈值,那么此时只需更换前端 VPS 并更新 DNS 解析,即可立刻复活。
这个思路有没有什么问题呢?

DNS 解析的生效时间,比名刀和复活甲的 CD 长三个字,没卵用 NO 怕波这看起来是没问题啊
​​​​​​​
/**
* 不是别人,是我,承认了你的价值
*
* Link https://greasyfork.org/zh-CN/scripts/396933-hostloc-zsbd
*/ 没啥问题 一 D 死就换前端???人家是傻子吗 d 半天发现没死不会 再 查下你的 dns 解析么买 100 台 vps 轮着换?DDOS 是打的你机器直接被服务商黑洞
你之后 DNS 解析到哪个新 IP,新发起的攻击会让新 IP 的服务器又被黑洞很好用,支持楼主,我觉得楼主这个方案没什么问题,唯一缺点就是废脑子。这不就是负载均衡吗

更新 DNS 解析,即可立刻复活

你更新就 D 新的,然后你 DNS 解析结果全是黑洞的 IP 关于防治 DDoS 的一个想法CDN 完全就是你想法的升级版 CC 这种设计差不多 DDOS 的话直接在前端暴露 IP 是没问题的前端没有足够的防御 也就瘫痪了 前端有足够的防御不需要后端

小旭 发表于 2022-5-3 00:17
CC 这种设计差不多 DDOS 的话直接在前端暴露 IP 是没问题的前端没有足够的防御 也就瘫痪了 前端有足够的防御不 …

还有一个问题就是采用 dns 方式不行的 应该在底层串联你这个其实就是 DNS 的宕机切换 IP 功能啊
但是你要明白 DNS 的解析是有 ttl 的,而且客户端还会存在 DNS 缓存
所以真正的 DNS 解析全网生效会很缓慢,这对于一些非关键服务来说应该也能用。
关键服务一般使用 Failover IPdns 刷新不是实时的,你这样和打 / 死了没区别,还不如直接关机关于防治 DDoS 的一个想法你不觉得一个机器绑定多个 IP 更合适?换了不能继续打?不如直接多机器直接轮询呢
/**
* 不忘初心,努力前行
*
*/ 正规的没几个人 D,不正规的烧钱就 OK 了 DDOS 最好的防御方式就是扛下来,其他的方案确实不行,我们正规应用有采用这样一个方案,像大家说的 DNS 有缓存,所以我们接入的是 HTTPDNS 返回实时更新的 IP,域名 TTL 买的最低值是 10,这样平时就放普通云服务器,入口 IP 被攻击了立刻买高防 CDN 转发,然后改域名解析,这个方案还比较省钱,没有防御的时候不用开防御的 CDN,也可以基本做到实时返回最新的 IP,对线上业务影响比较小,其实和楼主的思路是差不多的。其实 netcup rootserver 有免费的流量清洗

duyu 发表于 2022-5-3 01:15
DDOS 最好的防御方式就是扛下来,其他的方案确实不行,我们正规应用有采用这样一个方案,像大家说的 DNS 有缓 …

哪有高防 CDN 卖?想法是很好的
去试试
然后来 LOC 求打

正文完