高防在防DDoS中的运用经验 | FreeBuf甲方群话题讨论
2022-9-23 19:8:35 Author: FreeBuf(查看原文) 阅读量:10 收藏

作为一种常用攻击手段,DDoS攻击近期正呈快速上升的趋势。根据Radware最新发布的报告,2022年上半年恶意DDoS攻击的数量相比同期翻了两倍。虽然大家对于DDoS或许已经见怪不怪,但面对越发频繁的速率和更大的流量,许多企业已开始在防御系统或设备上提前下足功夫,做到未雨绸缪,而高防服务器或高防IP往往被认为是不错的选择方案,那二者有何差异性,到底能防住多大的DDoS攻击?本期讨论我们将以此为话题,就相关问题展开讨论。

面对DDoS攻击目前很多都会采用高防服务器或高防IP进行防御,这其中哪一种效果更好?企业该如何选择?

A1:
高防服务器更好,防御种类更多,针对DDOS和CC攻击。
A2:
首先,先弄清楚高防服务器和高防IP概念有什么不同。高防服务器是指独立单个防御50G以上的服务器,根据IDC机房环境,可分为硬防和软防,可以应对SYN、UDP、ICMP、HTTP GET等各类DDoS攻击;高防IP是指高防机房所提供的IP段,针对服务器在遭受大流量DDoS攻击情况下使用,可以通过配置高防IP,将攻击流量引流到高防IP,确保源服务器的正常运行。
如果原服务器遭受DDoS攻击,但又不想迁移数据不想换服务器的,就可以用高防IP 来部署防御和加速,在原有服务器上部署DDoS防御服务。
A3:
其实本质上来说,高防服务器与高防IP是存在很多联系的,高防IP属于是高防服务器的一部分,一般高防服务器都是针对IP来进行防御和管理,如果某IP出现异常流量时,高防机房中的硬件防火墙,牵引系统等会对流量进行智能识别,对恶意流量进行过滤,保证正常流量能够对服务器发出请求并得到正常的处理。
A4:
高防服务器如果爆掉了就会影响业务,但高防IP在隐藏源IP的基础上,即使单个节点爆了,也不会影响源站。
A5:
高防IP一般是增值服务,是在原有服务器上部署DDoS防护来增强防御级别。
A6:
之前看过一个总结,对二者总结挺到位的:
1、防御力攻击种类不同,高防IP针对的是DDoS和CC攻击,高防服务器通常集独享带宽、清洗能力、高防IP、流量牵引、专业抗DDoS攻击防御能力等高性能于一体;
2、实际操作方法不同,高防IP没有远程登陆的操作,高防服务器有远程登陆一系列的实际操作;
3、价格不同,高防IP按实际攻击量计费,成本更低,高防服务器硬件成本较高。
所以,如果预算有限就高防IP,不差钱的直接高防服务器吧。

Q:高防服务器或IP最高能防御多大攻击?真有打不死的高防吗?

A1:
最高目前不得而知,毕竟如果可以的话,一直打,只要一直打,都会被打死的。
A2:
与其说有没有打不死的高防,不如说企业到底能有几个钱支撑多大的高防,现在的都可以防御T级的攻击,就看企业烧的起钱不。
A3:
现在的云防御最大可防御2T的峰值,传统的高防服务器最大防御量取决于机房的可清洗的带宽总量,一般不会高到哪去,国内的高防机房一般都是在1T峰值左右。现在一些DDoS放大手段也可以达到T级别,所以说高防有没有打不死的,很难说,看攻击量大小。
A4:
除了利用高防服务器或IP,应该也有其他的一些方式策略吧。
A5:
过滤不必要的服务和端口;异常流量的清洗过滤;分布式集群防御。
A6:
我们本地60G的硬防+上层接入运营商600G的清洗能力+运营商的骨干网近源清洗和盾。
A7:
运营商要开启流量清洗,需要上报,做这个最好的是云。
A8:
本地设备清洗存在上限,运营商弹性清洗看你能投入多少了。
A9:
前几天有个新闻,被D了以后指向到GOV,然后把政府网站打挂了。
A10:
被DDoS攻击了的话,高防买不起,就只能躺了吗?转接还犯罪。
A11:
首先,DDoS也是有成本的,先评估下你有没有被D的资格,如果有,那说明你还是有钱,有钱就用钱去解决。
A12:
有些是可以应用优化设计吧,比如一下查询,下载的做限制,像这种的,得看场景和钱了。

话题二:大家漏洞管理平台用的哪个?洞察满足不了了,一个漏洞能牵扯出好几个部门,没办法指定给单个部门,有没有可推荐的?

A1:
直接对接你们OA,落实到个人。要不然只是落实到组织个人没啥用,还有对接你们得邮件系统,通过下发方式勾选,邮件、OA、手机短信都行。
A2:
落实到组织也得有人对接啊,不然没人认领都当不存在。
A3:
有人对接也不行,缺乏时效性,等通知下去,都不知道什么时候了。
A4:
正好我也想问下,对接OA,你们是下发工具导出格式,还是自己拟定报告,还是做在流程里字段固化?
A5:
我之前是拟定报告下发,因为有些问题多问题少,固定下去怕有问题。
A6:
漏洞信息手动填还是对接漏洞扫描器?
A7:
对接扫描器报告标准化格式,要自己做好上传样式和后台字段。
A8:
我们现在是自己编个报告,对接方式感觉有问题,比如扫描器告诉你十几个Tomcat版本漏洞,其实我只要一句话就完了。
A9:
我们现在是编报告的话,没法对应到不同部门,而且还得太慢了。
A10:
看你们得设计需求,我们当时得设计需求是每个漏洞都必须下发下去,所以对接某厂的RSAS标准导出格式,然后自己设计样式和字段录入。
A11:
OA流程的话你去选择多个部门的处理人员。
A12:
其实你把漏洞管理系统,当成OA一样就可以了,这个下发流程设计一样的多环节勾选、审批。
A13:
发报告,还是发漏洞,还是有点区别,发报告的话,处理人员只对报告内容负责,闭环,如果是面向漏洞,跟现在的OA系统兼容性,流程能不能处理下去,细节上总感觉有很多问题。特别版本性的,归总为一个叫版本漏洞,比发几十个什么漏洞简洁明了多了。
A14:
个人感觉你的方向有问题,报告和漏洞本质对我们来说都是一样的,工作应该做细致,你可以私下和系统负责人沟通,大版本升级,但是你下发下去,不能漏发扫描出来的漏洞。
A15:
这个可能大家理解和工作形式有点区别吧,从扫描器到OA有个漏洞数据清洗的过程,我认为把几十个PHP版本漏洞名称告诉管理员没有价值。
A16:
正常,每个人工作都有自己的方式,我认为工作要细致,也是为了防止背锅,有问题可以私下沟通,但是流程一定要走规范。
本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!
加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部
如有疑问,也可扫码添加小助手微信哦!
 

FreeBuf甲方群成员(因篇幅限制仅展现部分行业成员):

金融行业:贝宝金融 安全负责人、成都农商银行 信息安全负责人、晋商银行 安全负责人、北京银行 安全负责人、君龙人寿 技术负责人、合合信息 合规负责人、合生 信息安全负责人、航天产业投资基金IT负责人、工银金融 信息安全负责人、前海联合基金 信息安全负责人、天弘基金 安全负责人、阳光保险 信息安全部负责人、南京证券 安全负责人、宝马金融 信息安全经理  

运营商中国联通 网络安全主管、中国电信 信息安全技术主管、上海电信 网络安全主管、天津电信SOC主管、太平洋电信 研发总

互联网:云畅游戏 信息安全总监、飞点网络 技术总监、聚水潭科技 信息安全总监、诺亚控股 业务安全中心总监、哥伦比亚中国 信息安全总监非夕科技信息安全总监、赫基国际 信息安全部负责人、熵通科技 信息安全负责人建发集团 信息安全经理 
其他:大学长教育 数据安全与合规总监、温州城市大学 信息技术服务中心科长、作业帮 安全负责人、同程艺龙 安全总监、新奥集团 安全总监、中译语通 安全总监、集贤科技 安全总监、德邦快递 安全总监、盒子科技 安全总监、猎豹移动 安全总监、蚂蚁集团 实验室负责人、结行科技 数据安全负责人、苏宁 网络安全经理、新浪 网络安全经理、吉利汽车 信息安全经理 

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651196972&idx=2&sn=51b30cc34cc28115b361989bb8313d60&chksm=bd1d9ca78a6a15b199d21ec9d67cc80daa361ed1389ec264576f9a4aa8f659e4fcc0c2213e75#rd
如有侵权请联系:admin#unsafe.sh