ddos防火墙:DDoS(分布式拒绝服务)攻击是无解的吗?shotgun

发布时间:2020-06-01 06:21:04   来源:网络
【更新】从 来 都 不 是!

魔高一尺,道高一丈,道高一尺,魔高一丈。

这不是车轱辘话,这是事实,魔和道谁高要看双方投入的资源。

假设攻击者手上有数万台肉鸡,你是一个小站的管理员,就算你的水平比他高,你觉得后果会如何?

假设你是国家某重要部门的网站管理员,攻击者只是个小黑客,你觉得他下场如何?


道消魔涨,魔消道涨,道涨魔消,魔涨道消。

这不是绕口令,这也是事实,是说攻击成本和防御成本:防御做的越完善,攻击者消耗的成本越高,被发现的风险也越大;攻击做的越好,防御所付出的代价越大,追踪越难。

如果防御者把防御做到攻击者要达到目的所需付出的代价大于攻击带来的收益减去由于攻击而被惩罚的风险(我一口气差点没喘过来),那么攻击就没意义了,因为这是个赔本生意,除非防御方有个懂群嘲超级能拉仇恨的老板(某人表示无辜躺枪。。。)

什么?你说DDoS攻击没有成本?少年,你还是图样图森破啊,手上那么多肉鸡不花钱的?不花钱要花精力吧?不花精力天上掉下来的出门捡的你干点什么别的不好非要做这样没前途的事情?不知道就算是给肉鸡装软件刷流量卖广告也能赚的盆满钵满么?而且那是 可~持~续~发~展~, 你一发动DDoS就会开始掉粉,哦,不对,是掉肉鸡,全掉光了你拿什么养老?
养~老~不~能~靠~国~家~
要想富,少做攻击多养鸡。
而且你见过几个发了财的还在混黑社会?人家都变成社团了,不对,国际化企(第四声)业。


说几个小故事吧:
1.某人用synflood伪造IP地址攻击重要部门,惹了主管部门了,采用类似拉闸限电的方式分区搜捕,结果悲剧了。这个例子是DoS不是DDoS,但是可以告诉我们有关部门下了决心有多危险;

2.某人用肉鸡DDoS某网站,反向追踪很难,但是他有个坏习惯喜欢开着自己的笔记本(无跳板)保持一直Ping目标机器,确定有没有攻击成功,结果你们懂的,所以说常在河边走哪能不湿鞋;

3.某人玩DDoS,觉得自己玩的很专业,肯定不会被查到,可是侦探小说告诉我们警察叔叔不需要懂技术,有种方法叫做“得到最大利益的人就是最可疑的”,被请进去协助调查的时候你会希望自己的情商也和智商一样高,对了,还有你队友的情商和智商。哦,还有,网监的同志们是知道进屋前拉掉电闸以防止你破坏证据的,我觉得他们好莱坞电影看多了,谁真的会在家里的电脑上装自毁装置啊?再说,你装了自毁装置那不就是承认自己有问题么?你以为是拍香港律政剧还是美国警匪片?你有权利保持沉默?你有权利请律师?你有权利把牢底坐穿!

你还玩DDoS么?你说你没有同伴,心智坚强,好,那扫描肉鸡的0Day是你自己挖的?控制Botnet的程序也是自己写的?DDoS攻击的代码也原创的?来来来,同学,我帮你介绍工作吧,你这样的人才工作地点从太平洋东岸到太平洋西岸一定是随便挑,我要的不多一个月薪水就好,对,你不用付我自己去找雇主要,你问我为啥不内推,嗯,内推只有几千块奖金我不干。

什么?你不喜欢打工只愿意单干,来来来,同学,我们来讨论下风险投资和天使基金,这里有几百万不够的话我们再去拿,对对对是美刀不是人民币,你看看想做什么项目,占的不多10%就可以,报酬什么的你也不用担心,我拿项目提成就好。

……………………………………

DBA表示DDoS什么的弱爆了,好多网站都存在性能Bug,有时候几个简单的请求数据库系统就挂了我会告诉你怎么干吗?

CCIE表示DDoS什么的弱爆了,好多系统都有网络规划/配置Bug,有时候几个简单的数据包发过去网络就瘫痪了我会随便说吗?

社会工程学高手表示DDoS什么的弱爆了,好多机房一不小心就溜进去关电源拔硬盘如果BCP做得不好那可不是停机一两天的事情我会跟你讲吗?

黑帽子表示DDoS什么的弱爆了,我手上有0Day若干,一般我都是黑进去直接rm -rf /*你家里人都知道吗?

某主管部门表示DDoS什么的弱爆了,我们一般都是整个机房拔网线的,只要你敢播在线视频。

We have a winner now!

The End.

………………
看完全文和演职员表的同学,你们幸运了,以下是彩蛋时间,杨威利和尤里安乱入中:

尤里安:“提督,什么是必胜的秘诀?”

杨威利:“集结六倍于敌人的兵力,有着完全的补给和装备。”

尤里安:“如果没有这么多兵力呢?”

杨威利:“相同兵力补给的情况下,要看指挥运用的能力。”

尤里安:“如果兵力不足呢?”

杨威利:“以少胜多之所以被称为奇迹,就是因为发生的实在太少啦。”

尤里安:“提督您一定有办法的吧?您不是奇迹的杨么?我对您有信心!”

杨威利:“尤里安,尤里安,'若是你就有信心',自古以来,有多少人为了这耀人的名誉,而舍身去做那些不可能的事啊!更多回复:

知乎网友谢谢啊1阿萨:
得看你有没有钱,没钱无解。
不要妄想几台小破服务器搞搞安全设置就能防d了,没可能的。
这玩意就是两边拼钱,专业ddos都是有成本的,而且还老贵的。

一般没有深仇大恨不至于玩太凶。

知乎网友灵剑:

一般可以租大公司的CDN,让CDN做一层防御,原理首先大公司CDN带宽和防火墙技术的确有优势,但更重要的是,大公司在国内势力比较大,追查能力也比较强,攻击大公司的设施比较容易被抓,所以一般的黑客惹不起


知乎网友panzer:
运营商部署urpf 主要节点netflow 入网的服务器和用户签订好信息安全管理的协议 骨干网络上部署流量清洗 基本能做到这几点就差不多了。

知乎网友joehznm:
要看是哪种ddos

如果是带宽消耗类的,用运营商提供的抗d服务理论上效果比用阿里这类服务商的好,原因很简单,运营商可以在最外层把流量清洗掉,比如电信的云堤。阿里或者腾讯的抗d只是利用有限租用带宽的保护机制,但是如果d流量拥塞了骨干网那就不是阿里之类可以想象的
如果是对其它类型的,比如tcp或者dns类的,隐藏入口并且结合抗d能力基本可以搞定

无论怎样,这种事都要花钱,钱才是最后的抵抗资源

楼上有人说有关部门什么的,没什么意义,来自国外的攻击有关部门也就是有关部门而已