用阿里云服務(wù)器的朋友，一天能被攻擊多少次

阿里云是一種云服務(wù)器，就是將傳統(tǒng)服務(wù)器架構(gòu)在云上，速度性能都比較好?，F(xiàn)在阿里云在做一個促銷活動，首購云服務(wù)器時，使用－推－薦－碼－：

成都創(chuàng)新互聯(lián)公司是一家專注于做網(wǎng)站、成都網(wǎng)站建設(shè)與策劃設(shè)計,臨江網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:臨江等地區(qū)。臨江做網(wǎng)站價格咨詢:13518219792

bing78，可以九折優(yōu)惠，還是很劃算的。

阿里云主機這一年總是出現(xiàn)DDOS攻擊，有誰也遇到過嗎？

經(jīng)常遇到，嚴重影響業(yè)務(wù)，阿里云始終無法解決問題，得到的解決方案只是購買高防服務(wù)和獨立ip主機，

對于官方給出的解釋，多個主機共享一個ip，如果有一個共享虛擬主機被DDoS攻擊并觸發(fā)黑洞機制，那么與它共享IP的其他虛擬主機都無法訪問，主機自動關(guān)停，但是始終沒做出完善的結(jié)局方案。

網(wǎng)上有人給出了這種情況的幾種可能：

1、我們的競爭對手花錢雇兇？從價值上說，幾乎不可能！

2、黑阿里的組織或個人攻擊阿里云，我們遭殃？道理上說，應(yīng)當(dāng)攻擊知名的有價值的網(wǎng)站，才能造成大的影響！

3、其他服務(wù)商攻擊，以搶劫客戶？可是我們是十年的老客戶，忠誠度很高，意義不大！

4、黑客隨機攻擊？可是老攻擊同一個小網(wǎng)站，于理不合，投入回報析低！

5、網(wǎng)上有人說，是阿里內(nèi)部有個別惡人借此推銷ddos安全產(chǎn)品？不知是真是假

按照官方的回復(fù)，購買了獨立Ip主機可能還是會遇到攻擊，仍然需要購買高防來維護站點

阿里云服務(wù)器總是被攻擊,基本上剛買就會被攻擊,是為什么?

歸屬于阿里云服務(wù)器的ip是有范圍值的。

阿里屬于比較大型的服務(wù)器提供商，云主機服務(wù)器租用量較大。

有可能攻擊并不是針對你的，而是之前別的云主機使用了這個ip，然后退用了云主機后ip重新歸屬，正好被你用上了。所以就一租用就被攻擊了。

服務(wù)器和網(wǎng)站被攻擊的話，建議檢查下服務(wù)器的系統(tǒng)日志和網(wǎng)站運行的日志，分析確定下是受到了什么類型的攻擊，然后服務(wù)器是哪個調(diào)解下相應(yīng)的安全策略來進行防御。

也可以安裝安全狗之類的防護軟件來進行防御。

服務(wù)器安全狗主要保護服務(wù)器免遭惡意攻擊，包括DDOS、ARP防火墻、遠程桌面守護、端口保護、網(wǎng)絡(luò)監(jiān)控等。

網(wǎng)站安全狗主要保護服務(wù)器上網(wǎng)站的安全，包括網(wǎng)馬掛馬掃描、SQL注入防護，CC攻擊防護，資源保護等。

兩者防護方向不同。建議結(jié)合使用可以讓保護更全面。

在防御的同時，可以查看防護日志，了解服務(wù)器和網(wǎng)站受到的是什么類型的攻擊，然后針對攻擊類型來調(diào)節(jié)防護規(guī)則，可以更為有效地進行防御。

阿里云服務(wù)器被攻擊-

根據(jù)全球 游戲 和全球移動互聯(lián)網(wǎng)行業(yè)第三方分析機構(gòu)Newzoo的數(shù)據(jù)顯示：2017年上半年，中國以275億美元的 游戲 市場收入超過美國和日本，成為全球榜首。

游戲 行業(yè)的快速發(fā)展、高額的攻擊利潤、日趨激烈的行業(yè)競爭，讓中國 游戲 行業(yè)的進軍者們，每天都面臨業(yè)務(wù)和安全的雙重挑戰(zhàn)。

游戲 行業(yè)一直是競爭、攻擊最為復(fù)雜的一個江湖。 曾經(jīng)多少充滿激情的創(chuàng)業(yè)團隊、玩法極具特色的 游戲 產(chǎn)品，被互聯(lián)網(wǎng)攻擊的問題扼殺在搖籃里；又有多少運營出色的 游戲 產(chǎn)品，因為遭受DDoS攻擊，而一蹶不振。

DDoS 攻擊的危害

小蟻安盾安全發(fā)布的2017年上半年的 游戲 行業(yè)DDoS攻擊態(tài)勢報告中指出：2017年1月至2017年6月， 游戲 行業(yè)大于300G以上的攻擊超過1800次，攻擊最大峰值為608G； 游戲 公司每月平均被攻擊次數(shù)高達800余次。

目前， 游戲 行業(yè)因DDoS攻擊引發(fā)的危害主要集中在以下幾點：

? 90%的 游戲 業(yè)務(wù)在被攻擊后的2-3天內(nèi)會徹底下線。

? 攻擊超過2-3天以上，玩家數(shù)量一般會從幾萬人下降至幾百人。

? 遭受DDoS攻擊后， 游戲 公司日損失可達數(shù)百萬元。

為什么 游戲 行業(yè)是 DDoS 攻擊的重災(zāi)區(qū)？

據(jù)統(tǒng)計表明，超過50%的DDoS和CC攻擊，都在針對 游戲 行業(yè)。 游戲 行業(yè)成為攻擊的重災(zāi)區(qū)，主要有以下幾點原因：

? 游戲 行業(yè)的攻擊成本低，幾乎是防護成本的1/N，攻防兩端極度不平衡。 隨著攻擊方的手法日趨復(fù)雜、攻擊點的日趨增多，靜態(tài)防護策略已無法達到較好的效果，從而加劇了這種不平衡。

? 游戲 行業(yè)生命周期短。 一款 游戲 從出生到消亡，大多只有半年的時間，如果抗不過一次大的攻擊，很可能就死在半路上。黑客也是瞄中了這一點，認定只要發(fā)起攻擊， 游戲 公司一定會給保護費。

? 游戲 行業(yè)對連續(xù)性的要求很高，需要7 24小時在線。 因此如果受到DDoS攻擊，很容易會造成大量的玩家流失。在被攻擊的2-3天后，玩家數(shù)量從幾萬人掉到幾百人的事例屢見不鮮。

? 游戲 公司之間的惡性競爭，也加劇了針對行業(yè)的DDoS攻擊。

游戲 行業(yè)的 DDoS 攻擊類型

? 空連接 攻擊者與服務(wù)器頻繁建立TCP連接，占用服務(wù)端的連接資源，有的會斷開、有的則一直保持?？者B接攻擊就好比您開了一家飯館，黑幫勢力總是去排隊，但是并不消費，而此時正常的客人也會無法進去消費。

? 流量型攻擊 攻擊者采用UDP報文攻擊服務(wù)器的 游戲 端口，影響正常玩家的速度。用飯館的例子，即流量型攻擊相當(dāng)于黑幫勢力直接把飯館的門給堵了。

? CC攻擊 攻擊者攻擊服務(wù)器的認證頁面、登錄頁面、 游戲 論壇等。還是用飯館的例子，CC攻擊相當(dāng)于，壞人霸占收銀臺結(jié)賬、霸占服務(wù)員點菜，導(dǎo)致正常的客人無法享受到服務(wù)。

? 假人攻擊 模擬 游戲 登錄和創(chuàng)建角色過程，造成服務(wù)器人滿為患，影響正常玩家。

? 對玩家的DDoS攻擊 針對對戰(zhàn)類 游戲 ，攻擊對方玩家的網(wǎng)絡(luò)使其 游戲 掉線或者速度慢。

? 對網(wǎng)關(guān)DDoS攻擊 攻擊 游戲 服務(wù)器的網(wǎng)關(guān)，導(dǎo)致 游戲 運行緩慢。

? 連接攻擊 頻繁的攻擊服務(wù)器，發(fā)送垃圾報文，造成服務(wù)器忙于解碼垃圾數(shù)據(jù)。

游戲 安全痛點

? 業(yè)務(wù)投入大，生命周期短 一旦出現(xiàn)若干天的業(yè)務(wù)中斷，將直接導(dǎo)致前期的投入化為烏有。

? 缺少為安全而準備的資源 游戲 行業(yè)玩家多、數(shù)據(jù)庫和帶寬消耗大、基礎(chǔ)設(shè)施資源準備時間長，而安全需求往往沒有被 游戲 公司優(yōu)先考慮。

? 可被攻擊的薄弱點多 網(wǎng)關(guān)、帶寬、數(shù)據(jù)庫、計費系統(tǒng)都可能成為 游戲 行業(yè)攻擊的突破口，相關(guān)的存儲系統(tǒng)、域名DNS系統(tǒng)、CDN系統(tǒng)等也會遭受攻擊。

? 涉及的協(xié)議種類多 難以使用同一套防御模型去識別攻擊并加以防護，許多 游戲 服務(wù)器多用加密私有協(xié)議，難以用通用的挑戰(zhàn)機制進行驗證。

? 實時性要求高，需要7 24小時在線 業(yè)務(wù)不能中斷，成為DDoS攻擊容易奏效的理由。

? 行業(yè)惡性競爭現(xiàn)象猖獗 DDoS攻擊成為打倒競爭對手的工具。

如何判斷已遭受 DDoS 攻擊？

假定已排除線路和硬件故障的情況下，突然發(fā)現(xiàn)連接服務(wù)器困難、正在 游戲 的用戶掉線等現(xiàn)象，則說明您很有可能是遭受了DDoS攻擊。

目前， 游戲 行業(yè)的IT基礎(chǔ)設(shè)施一般有 2 種部署模式：一種是采用云計算或者托管IDC模式，另外一種是自行部署網(wǎng)絡(luò)專線。無論是前者還是后者接入，正常情況下， 游戲 用戶都可以自由流暢地進入服務(wù)器并進行 游戲 娛樂 。因此，如果突然出現(xiàn)以下幾種現(xiàn)象，可以基本判斷是被攻擊狀態(tài)：

? 主機的IN/OUT流量較平時有顯著的增長。

? 主機的CPU或者內(nèi)存利用率出現(xiàn)無預(yù)期的暴漲。

? 通過查看當(dāng)前主機的連接狀態(tài)，發(fā)現(xiàn)有很多半開連接；或者是很多外部IP地址，都與本機的服務(wù)端口建立幾十個以上的ESTABLISHED狀態(tài)的連接，則說明遭到了TCP多連接攻擊。

? 游戲 客戶端連接 游戲 服務(wù)器失敗或者登錄過程非常緩慢。

? 正在進行 游戲 的用戶突然無法操作、或者非常緩慢、或者總是斷線。

DDoS 攻擊緩解最佳實踐

目前，有效緩解DDoS攻擊的方法可分為 3 大類：

? 架構(gòu)優(yōu)化

? 服務(wù)器加固

? 商用的DDoS防護服務(wù)

您可根據(jù)自己的預(yù)算和遭受攻擊的嚴重程度，來決定采用哪些安全措施。

架構(gòu)優(yōu)化

在預(yù)算有限的情況下，建議您優(yōu)先從自身架構(gòu)的優(yōu)化和服務(wù)器加固上下功夫，減緩DDoS攻擊造成的影響。

部署 DNS 智能解析

通過智能解析的方式優(yōu)化DNS解析，有效避免DNS流量攻擊產(chǎn)生的風(fēng)險。同時，建議您托管多家DNS服務(wù)商。

? 屏蔽未經(jīng)請求發(fā)送的DNS響應(yīng)信息 典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發(fā)送至DNS服務(wù)器中，在DNS服務(wù)器對查詢請求進行處理之后，服務(wù)器會將響應(yīng)信息返回給DNS解析器。

但值得注意的是，響應(yīng)信息是不會主動發(fā)送的。服務(wù)器在沒有接收到查詢請求之前，就已經(jīng)生成了對應(yīng)的響應(yīng)信息，這些回應(yīng)就應(yīng)被丟棄。

? 丟棄快速重傳數(shù)據(jù)包 即便是在數(shù)據(jù)包丟失的情況下，任何合法的DNS客戶端都不會在較短的時間間隔內(nèi)向同一DNS服務(wù)器發(fā)送相同的DNS查詢請求。如果從相同IP地址發(fā)送至同一目標地址的相同查詢請求發(fā)送頻率過高，這些請求數(shù)據(jù)包可被丟棄。

? 啟用TTL 如果DNS服務(wù)器已經(jīng)將響應(yīng)信息成功發(fā)送了，應(yīng)該禁止服務(wù)器在較短的時間間隔內(nèi)對相同的查詢請求信息進行響應(yīng)。

對于一個合法的DNS客戶端，如果已經(jīng)接收到了響應(yīng)信息，就不會再次發(fā)送相同的查詢請求。每一個響應(yīng)信息都應(yīng)進行緩存處理直到TTL過期。當(dāng)DNS服務(wù)器遭遇大量查詢請求時，可以屏蔽掉不需要的數(shù)據(jù)包。

? 丟棄未知來源的DNS查詢請求和響應(yīng)數(shù)據(jù) 通常情況下，攻擊者會利用腳本對目標進行分布式拒絕服務(wù)攻擊（DDoS攻擊），而且這些腳本通常是有漏洞的。因此，在服務(wù)器中部署簡單的匿名檢測機制，在某種程度上可以限制傳入服務(wù)器的數(shù)據(jù)包數(shù)量。

? 丟棄未經(jīng)請求或突發(fā)的DNS請求 這類請求信息很可能是由偽造的代理服務(wù)器所發(fā)送的，或是由于客戶端配置錯誤或者是攻擊流量。無論是哪一種情況，都應(yīng)該直接丟棄這類數(shù)據(jù)包。

非泛洪攻擊 (non-flood) 時段，可以創(chuàng)建一個白名單，添加允許服務(wù)器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數(shù)據(jù)包。

這種方法能夠有效地保護服務(wù)器不受泛洪攻擊的威脅，也能保證合法的域名服務(wù)器只對合法的DNS查詢請求進行處理和響應(yīng)。

? 啟動DNS客戶端驗證 偽造是DNS攻擊中常用的一種技術(shù)。如果設(shè)備可以啟動客戶端驗證信任狀，便可以用于從偽造泛洪數(shù)據(jù)中篩選出非泛洪數(shù)據(jù)包。

? 對響應(yīng)信息進行緩存處理 如果某一查詢請求對應(yīng)的響應(yīng)信息已經(jīng)存在于服務(wù)器的DNS緩存之中，緩存可以直接對請求進行處理。這樣可以有效地防止服務(wù)器因過載而發(fā)生宕機。

? 使用ACL的權(quán)限 很多請求中包含了服務(wù)器不具有或不支持的信息，可以進行簡單的阻斷設(shè)置。例如，外部IP地址請求區(qū)域轉(zhuǎn)換或碎片化數(shù)據(jù)包，直接將這類請求數(shù)據(jù)包丟棄。

? 利用ACL，BCP38及IP信譽功能 托管DNS服務(wù)器的任何企業(yè)都有用戶軌跡的限制，當(dāng)攻擊數(shù)據(jù)包被偽造，偽造請求來自世界各地的源地址。設(shè)置一個簡單的過濾器可阻斷不需要的地理位置的IP地址請求或只允許在地理位置白名單內(nèi)的IP請求。

同時，也存在某些偽造的數(shù)據(jù)包可能來自與內(nèi)部網(wǎng)絡(luò)地址的情況，可以利用BCP38通過硬件過濾清除異常來源地址的請求。

部署負載均衡

通過部署負載均衡（SLB）服務(wù)器有效減緩CC攻擊的影響。通過在SLB后端負載多臺服務(wù)器的方式，對DDoS攻擊中的CC攻擊進行防護。

部署負載均衡方案后，不僅具有CC攻擊防護的作用，也能將訪問用戶均衡分配到各個服務(wù)器上，減少單臺服務(wù)器的負擔(dān)，加快訪問速度。

使用專有網(wǎng)絡(luò)

通過網(wǎng)絡(luò)內(nèi)部邏輯隔離，防止來自內(nèi)網(wǎng)肉雞的攻擊。

提供余量帶寬

通過服務(wù)器性能測試，評估正常業(yè)務(wù)環(huán)境下能承受的帶寬和請求數(shù)，確保流量通道不止是日常的量，有一定的帶寬余量可以有利于處理大規(guī)模攻擊。

服務(wù)器安全加固

在服務(wù)器上進行安全加固，減少可被攻擊的點，增大攻擊方的攻擊成本：

? 確保服務(wù)器的系統(tǒng)文件是最新的版本，并及時更新系統(tǒng)補丁。

? 對所有服務(wù)器主機進行檢查，清楚訪問者的來源。

? 過濾不必要的服務(wù)和端口。例如，WWW服務(wù)器，只開放80端口，將其他所有端口關(guān)閉，或在防火墻上做阻止策略。

? 限制同時打開的SYN半連接數(shù)目，縮短SYN半連接的timeout時間，限制SYN/ICMP流量。

? 仔細檢查網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的日志。一旦出現(xiàn)漏洞或是時間變更，則說明服務(wù)器可能遭到了攻擊。

? 限制在防火墻外與網(wǎng)絡(luò)文件共享。降低黑客截取系統(tǒng)文件的機會，若黑客以特洛伊木馬替換它，文件傳輸功能無疑會陷入癱瘓。

? 充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源。在配置路由器時應(yīng)考慮以下策略的配置：流控、包過濾、半連接超時、垃圾包丟棄，來源偽造的數(shù)據(jù)包丟棄，SYN 閥值，禁用ICMP和UDP廣播。

? 通過iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接，限制疑似惡意IP的連接、傳輸速率。

? 識別 游戲 特征，自動將不符合 游戲 特征的連接斷開。

? 防止空連接和假人攻擊，將空連接的IP地址直接加入黑名單。

? 配置學(xué)習(xí)機制，保護 游戲 在線玩家不掉線。例如，通過服務(wù)器搜集正常玩家的信息，當(dāng)面對攻擊時，將正常玩家導(dǎo)入預(yù)先準備的服務(wù)器，并暫時放棄新進玩家的接入，以保障在線玩家的 游戲 體驗。

商用 DDoS 攻擊解決方案

針對超大流量的攻擊或者復(fù)雜的 游戲 CC攻擊，可以考慮采用專業(yè)的DDoS解決方案。目前，通用的 游戲 行業(yè)安全解決方案做法是在IDC機房前端部署防火墻或者流量清洗的一些設(shè)備，或者采用大帶寬的高防機房來清洗攻擊。

當(dāng)寬帶資源充足時，此技術(shù)模式的確是防御 游戲 行業(yè)DDoS攻擊的有效方式。不過帶寬資源有時也會成為瓶頸：例如單點的IDC很容易被打滿，對 游戲 公司本身的成本要求也比較高。

DDoS攻擊解決方案——高防IP

新式高防技術(shù)，替身式防御，具備4Tbps高抗D+流量清洗功能，無視DDoS,CC攻擊，不用遷移數(shù)據(jù)，隱藏源服務(wù)器IP，只需將網(wǎng)站解析記錄修改為小蟻DDoS高防IP，將攻擊引流至小蟻集群替身高防服務(wù)器，是攻擊的IP過濾清洗攔截攻擊源，正常訪問的到源服務(wù)器，保證網(wǎng)站快速訪問或服務(wù)器穩(wěn)定可用，接入半小時后，即可正式享受高防服務(wù)。