昨天〈主場新聞〉網站受到DDoS攻擊, 官方Facebook fan page說網站流量比平多出300倍,但沒有說明實際流量有多少Gbps。
作為主場博客,我對這事件亦非常關心,利網絡工具調查,得知主場網站掛在Amazon的雲端(Cloud)服務(Amazon Web Services, AWS),而雲端的好處,就是可以隨著訪問流量,彈性地調配網站資源,所以一般的流量激增,例如刊出某單突發新聞,AWS都可以輕易應付。
但惡意DDoS攻擊者會用超大量的ip地址,作出最消耗資源的訪問,例如搜尋內文,或下載大量檔案等等,同時亦會發放多種不同形式的惡意攻擊,務求令網站癱瘓。
因為網站在雲端,是虛擬伺服器(Virtual Server),不能自設硬件防火牆(Firewall)和路由器(Router),所以人手控制流量會比較困難,對應方法,可以在AWS Marketplace租用Virtual Router, Firewall, Traffic Manager等服務,然後人手調控訪問流量。但這些服務一來需要有操作知識,二來價錢亦不菲,所以我會建議用另外一種雲端保安服務。
現時雲端保安服務有幾個比較知名的供應商,例如Cloudfare,Incapsula,NeuStar,Prolexic。用法是將網站現在的DNS Server轉用他們提供的DNS Server,於是所有流量將會先經過他們的系統過濾,然後再才去到訪問者的電腦。
這類服務一般包括基本的Firewall,將惡意訪問篩走,但因為DDoS的訪問都是正常流量,所以難以完全用程式分辨,一定要加上專家人工分析。而雲端保安服務公司,都有提供DDoS保護服務,並擁有海量的頻寬(例如Preleix就聲稱有800Gbps),確保足夠緩和DDoS攻擊。一般來說數Gbps的攻擊已算大規模,數十Gbps的攻擊可謂巨型。但今年3月發生了史上最大型的DDoS攻擊,高峰流量達到300Gbps,幾乎拖慢了整個互聯網,受害者找Cloudflare幫忙,亦令Cloudflare成為攻擊目標,最終要多個國家的互聯網交換中心(Internet Exchange)合力聯手才能停止這次攻擊。
希望〈主場新聞〉服務盡快恢服,我們絕對不能向惡意攻擊低頭!主場的朋友們請加油!
The post 網站掛在雲端,如何抵抗DDoS攻擊 appeared first on 偉大航道 The Startup Grand Line.
Source: grandline.hk
