創業的N種死法：抵禦DDoS攻擊花錢致死

時間 2019-11-06

原文原文鏈接

很明顯標題誇大了，可是今兒這24小時，讓我更深入體會到了創業是知識學習的無底洞，讓人我更深入認知創業沒錢真就是死。安全

今日凌晨開始，咱們5X興趣社區訪問不了了，咱們技術同事查看阿里雲後臺，發現有人用DDoS攻擊咱們，辦法就是經過NTP時間查詢，無數主機來問咱們服務器：幾點啦？服務器告訴他3點啦，因而一秒幾萬條詢問，服務器就掛了。服務器

凌晨2點，焦頭爛額，說實話，咱們都沒有一線實戰的防攻擊經驗，且咱們認爲5X興趣社區還小，既沒什麼競品可踩到人家利益、也歷來沒招惹誰，估計沒人搞咱們，因而把防禦攻擊的工做放在了2016年重點建設的計劃裏。網絡

咱們開始找阿里雲的客服，發現了，留了個電話並無人接，而後他們有個在線工單系統，能夠提交工單反饋，反饋了良久，對方回答的相似意思就是咱們替大家扛住了2個G的攻擊，可是超出了，因此咱們給大家放在黑洞裏，停了大家的訪問服務了。而後，阿里雲的機制是每40分鐘解開對你的禁止訪問，看看是否還有攻擊，一旦發現還有攻擊，馬上給你再扔回黑洞裏。運維

工單系統繼續回信告訴咱們，他們有個高防IP額外服務，能夠把攻擊引入那裏，保證主站可訪問，一看價格，每月峯值不超過20G的話是1.68萬，超過另算，夜裏琢磨了下，沒買，內心在滴血，好貴啊。分佈式

凌晨3-4點，攻擊沒了，社區能夠繼續訪問了。性能

等後來查日誌，凌晨一共攻擊個接近20個G的帶寬。學習

中午12點攻擊又來了，咱們開始諮詢汽車之家運維的前，前輩表示，DDoS攻擊，真沒辦法，對方用的都是肉雞（被黑了的電腦），由於都是真電腦，很難區分攻擊和訪問用戶，且DDOS攻擊是最原始、最貴、可是也最有效的攻擊，基本上1-30G算小強度、30-50G算中等強度、50-200G算極大強度攻擊了，通常小網站幾個G就癱瘓了，而大型網站，若是來100G甚至更多的DDOS也是很難抗住。網站

惟一的辦法就是找大水池子，洪水來了，別沖毀你的小水庫，都引入大水庫了，保證小水庫正常訪問，也就是阿里雲提到的那個高防IP的服務。阿里雲

而且，此次攻擊咱們的DDoS是針對咱們域名XXXXXBBS.COM的，也就是無論咱們換什麼雲服務器供應商，一併都會完蛋。spa

從中午開始的DDOS攻擊又再次達到了10個G的峯值，因而，再確認沒別的招的狀況下，咱們採購了阿里雲的高防IP服務，也就是阿里雲提供的大水池子，這個水池子有多大？就是大到300G的攻擊都能容下，阿里雲負責給你清洗數據，攻擊數據讓大水池承擔，良性訪問走主站。

結論：

*創業，若是錢不夠，真得死，若是作互聯網相關，比你想象的最慘狀況再多準備50%的錢吧。
*攤上了DDoS攻擊，沒別的招，儘早去找大水池子分擔。
*DDoS成本很高，攻擊1G的話，市面行情須要500元，便宜了說也得250元，因此今日一天攻擊咱們的DDoS得花費1萬元左右。
*網絡防禦不能省啊，儘早創建好預警機制和邏輯，起碼每一個作互聯網創業的，都得提早找好大水池子，一旦被DDoS，馬上啓動大水池子，反正遲早都是花這筆錢，還不如準備好了，減小抉擇時間就能減小宕機時間了。

一個不解：
自打買了阿里雲的高防IP服務那一刻，DDoS攻擊就中止了......好巧合哩，我就很少猜了，由於~~沒證據。

兄弟單位狀況：
我朋友圈發了這個消息，一堆作社交、論壇的朋友紛紛表示，都在創業某個時期被DDoS，而後都「被迫」買了大水池子，以後就行了，他們說「保護費」這步是繞不開地~~小韓同事~~斯帕克同事~~

附錄今日學習結果，什麼是DDoS：
首先從一個比方來深刻理解什麼是DDoS：

一羣惡霸試圖讓對面那家有着競爭關係的商鋪沒法正常營業，他們會採起什麼手段呢？惡霸們扮做普通客戶一直擁擠在對手的商鋪，賴着不走，真正的購物者卻沒法進入；或者老是和營業員有一搭沒一搭的東扯西扯，讓工做人員不能正常服務客戶；也能夠爲商鋪的經營者提供虛假信息，商鋪的上上下下忙成一團以後卻發現都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單幹難以完成，須要叫上不少人一塊兒。嗯，網絡安全領域中DoS和DDoS攻擊就遵循着這些思路。

在信息安全的三要素--「保密性」、「完整性」和「可用性」中，DoS（Denial of Service），即拒絕服務攻擊，針對的目標正是「可用性」。該攻擊方式利用目標系統網絡服務功能缺陷或者直接消耗其系統資源，使得該目標系統沒法提供正常的服務。

DDoS的攻擊方式有不少種，最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶沒法獲得服務的響應。單一的DoS攻擊通常是採用一對一方式的，當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項指標不高的性能，它的效果是明顯的。隨着計算機與網絡技術的發展，計算機的處理能力迅速增加，內存大大增長，同時也出現了千兆級別的網絡，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"增強了很多。這時候分佈式的拒絕服務攻擊手段（DDoS）就應運而生了。DDoS就是利用更多的傀儡機（肉雞）來發起進攻，以比從前更大的規模來進攻受害者。

我只是知識的搬運工，轉http://weibo.com/p/1001603892182565174853