高防在防DDoS中的运用经验 | FreeBuf甲方群话题讨论

2022-9-22 19:55:33 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

作为一种常用攻击手段,DDoS攻击近期正呈快速上升的趋势。根据Radware最新发布的报告,2022年上半年恶意DDoS攻击的数量相比同期翻了两倍。虽然大家对于DDoS或许已经见怪不怪,但面对越发频繁的速率和更大的流量,许多企业已开始在防御系统或设备上提前下足功夫,做到未雨绸缪,而高防服务器或高防IP往往被认为是不错的选择方案,那二者有何差异性,到底能防住多大的DDoS攻击?本期讨论我们将以此为话题,就相关问题展开讨论。


面对DDoS攻击目前很多都会采用高防服务器或高防IP进行防御,这其中哪一种效果更好?企业该如何选择?

A1:

高防服务器更好,防御种类更多,针对DDOS和CC攻击。

A2:

首先,先弄清楚高防服务器和高防IP概念有什么不同。高防服务器是指独立单个防御50G以上的服务器,根据IDC机房环境,可分为硬防和软防,可以应对SYN、UDP、ICMP、HTTP GET等各类DDoS攻击;高防IP是指高防机房所提供的IP段,针对服务器在遭受大流量DDoS攻击情况下使用,可以通过配置高防IP,将攻击流量引流到高防IP,确保源服务器的正常运行。

如果原服务器遭受DDoS攻击,但又不想迁移数据不想换服务器的,就可以用高防IP 来部署防御和加速,在原有服务器上部署DDoS防御服务。

A3:

其实本质上来说,高防服务器与高防IP是存在很多联系的,高防IP属于是高防服务器的一部分,一般高防服务器都是针对IP来进行防御和管理,如果某IP出现异常流量时,高防机房中的硬件防火墙,牵引系统等会对流量进行智能识别,对恶意流量进行过滤,保证正常流量能够对服务器发出请求并得到正常的处理。

A4:

高防服务器如果爆掉了就会影响业务,但高防IP在隐藏源IP的基础上,即使单个节点爆了,也不会影响源站。

A5:

高防IP一般是增值服务,是在原有服务器上部署DDoS防护来增强防御级别。

A6:

之前看过一个总结,对二者总结挺到位的:

1、防御力攻击种类不同,高防IP针对的是DDoS和CC攻击,高防服务器通常集独享带宽、清洗能力、高防IP、流量牵引、专业抗DDoS攻击防御能力等高性能于一体;

2、实际操作方法不同,高防IP没有远程登陆的操作,高防服务器有远程登陆一系列的实际操作;

3、价格不同,高防IP按实际攻击量计费,成本更低,高防服务器硬件成本较高。

所以,如果预算有限就高防IP,不差钱的直接高防服务器吧。

Q:高防服务器或IP最高能防御多大攻击?真有打不死的高防吗?

A1:

最高目前不得而知,毕竟如果可以的话,一直打,只要一直打,都会被打死的。

A2:

与其说有没有打不死的高防,不如说企业到底能有几个钱支撑多大的高防,现在的都可以防御T级的攻击,就看企业烧的起钱不。

A3:

现在的云防御最大可防御2T的峰值,传统的高防服务器最大防御量取决于机房的可清洗的带宽总量,一般不会高到哪去,国内的高防机房一般都是在1T峰值左右。现在一些DDoS放大手段也可以达到T级别,所以说高防有没有打不死的,很难说,看攻击量大小。

A4:

除了利用高防服务器或IP,应该也有其他的一些方式策略吧。

A5:

过滤不必要的服务和端口;异常流量的清洗过滤;分布式集群防御。

A6:

我们本地60G的硬防+上层接入运营商600G的清洗能力+运营商的骨干网近源清洗和盾。

A7:

运营商要开启流量清洗,需要上报,做这个最好的是云。

A8:

本地设备清洗存在上限,运营商弹性清洗看你能投入多少了。

A9:

前几天有个新闻,被D了以后指向到GOV,然后把政府网站打挂了。

A10:

被DDoS攻击了的话,高防买不起,就只能躺了吗? 转接还犯罪。

A11:

首先,DDoS也是有成本的,先评估下你有没有被D的资格,如果有,那说明你还是有钱,有钱就用钱去解决。

A12:

有些是可以应用优化设计吧,比如一下查询,下载的做限制,像这种的,得看场景和钱了。

话题二:大家漏洞管理平台用的哪个?洞察满足不了了,一个漏洞能牵扯出好几个部门,没办法指定给单个部门,有没有可推荐的?

A1:

直接对接你们OA,落实到个人。要不然只是落实到组织个人没啥用,还有对接你们得邮件系统,通过下发方式勾选,邮件、OA、手机短信都行。

A2:

落实到组织也得有人对接啊,不然没人认领都当不存在。

A3:

有人对接也不行,缺乏时效性,等通知下去,都不知道什么时候了。

A4:

正好我也想问下,对接OA,你们是下发工具导出格式,还是自己拟定报告,还是做在流程里字段固化?

A5:

我之前是拟定报告下发,因为有些问题多问题少,固定下去怕有问题。

A6:

漏洞信息手动填还是对接漏洞扫描器?

A7:

对接扫描器报告标准化格式,要自己做好上传样式和后台字段。

A8:

我们现在是自己编个报告,对接方式感觉有问题,比如扫描器告诉你十几个Tomcat版本漏洞,其实我只要一句话就完了。

A9:

我们现在是编报告的话,没法对应到不同部门,而且还得太慢了。

A10:

看你们得设计需求,我们当时得设计需求是每个漏洞都必须下发下去,所以对接某厂的RSAS标准导出格式,然后自己设计样式和字段录入。

A11:

OA流程的话你去选择多个部门的处理人员。

A12:

其实你把漏洞管理系统,当成OA一样就可以了,这个下发流程设计一样的多环节勾选、审批。

A13:

发报告,还是发漏洞,还是有点区别,发报告的话,处理人员只对报告内容负责,闭环,如果是面向漏洞,跟现在的OA系统兼容性,流程能不能处理下去,细节上总感觉有很多问题。特别版本性的,归总为一个叫版本漏洞,比发几十个什么漏洞简洁明了多了。

A14:

个人感觉你的方向有问题,报告和漏洞本质对我们来说都是一样的,工作应该做细致,你可以私下和系统负责人沟通,大版本升级,但是你下发下去,不能漏发扫描出来的漏洞。

A15:

这个可能大家理解和工作形式有点区别吧,从扫描器到OA有个漏洞数据清洗的过程,我认为把几十个PHP版本漏洞名称告诉管理员没有价值。

A16:

正常,每个人工作都有自己的方式,我认为工作要细致,也是为了防止背锅,有问题可以私下沟通,但是流程一定要走规范。

——————————————————

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/neopoints/345369.html
如有侵权请联系:admin#unsafe.sh