应老板要求设计的DDoS攻击省钱防御方案

前段时间公司网站遭受DDOS攻击,瞬间每秒接近30G(其实攻击力度很低啦)的流量涌向主项目的负载均衡,由于服务器全部裸奔,除了关机没有任何解决办法,但老板不允许关机,最后是腾讯云单方面强制关闭负载均衡服务器1小时后,攻击消失。

其实在此次攻击发生前,已经发生多次DDOS攻击,腾讯商务报价5万每季度/10IP/10次峰值DDOS防护套餐被老板认为太贵了,所以就这么一直裸奔着。如果对比国内其他运营商的报价,在同等防护力度,流量清洗效率上,腾讯云的报价应该是最低的,奈何老板就是认为因为一个季度两三次的攻击就花费5万元是一种浪费,我们也是毫无办法。只能按要求给他想一下更省钱的方案。

以下精选靠谱方案中最靠谱的几个:

方案1:临时负载方案

当遇到DDOS攻击时,临时购买一个月限制带宽的ELB,然后DNS解析到新IP上。 再升级一下就是购买限制ELB,只对资源付费,日常不解析,就没有流量费用,再采用DNS检测的方法,切换解析;
优点:便宜,没有更便宜的方案了,实例租用一个月不到200. 流量按使用量付费就好了。
缺点:攻击者可以顺藤摸瓜ping出新的dns。或者直接对dns服务发起ddos攻击。
就是赌攻击者比较傻,老板十分满意,目前最钟意的方案。

方案2:多路解析方案

购买Dnspod最低版商业解析,1280元每年,分6路解析。解析到6路ELB上,也就是多了5路ELB,再加1000元/年、
优点:便宜,攻击一路,其它路还能保障还能提供服务。
缺点:只要同时攻击电信 联通 移动三路,就完全瘫痪了。
还在在赌攻击者比较傻,老板不太满意,优点小贵呢。

方案3:统一入口方案

单独购买一台8核16G腾讯云服务器器, 作为整套系统的入口和负载均衡,成本1200元/月。然后购买一个腾讯云最低版高防IP,绑定到入口服务器。高防IP可以每季度清洗10次峰值20GIP的ddos,超过则另外付钱。
优点:花小钱就能做到多IP常规防御。
缺点:不够稳定,入口放在一台服务器上不稳定。如果通过DNS来负载,那么购买专业版负载解析和多个高防IP又是老板承受不了的。
这方案不用赌攻击者的智商,但绝对是一个会坑死运维的方案。

方案4:突发境外清洗方案

境外的计算资源比较足,常常2000元/月就能买到30G-80G有效高防大母鸡了,利用这个特点,可以购买一台或多台境外服务器,配置到到境内闲置ELB的反代(即按流量付费,但平时不解析的ELB), 在DNS中配置对常用ELB的检查,如果检查失败,则DNS会自动切换到境外服务器反代回境内,检查成功则会自动切换回来。
优点:钱不多,被动多少能起到流量清洗的效果;
缺点:可能会误报,误解析, 防御时境外反代境内,会让接口速度变慢。

总结:这些方案看起来巧妙,还是极不靠谱。但碰到一个抠逼老板,也是没办法的事。一次的攻击损失就在10万以上, 还不愿意花这些钱。

发表评论

邮箱地址不会被公开。 必填项已用*标注