Hostinger 如何应对 DDoS 攻击
Hostinger 如何应对 DDoS 攻击
如何识别分布式拒绝服务 (DDoS) 攻击
为了避免攻击,您需要知道将会发生什么。的流量超载来破坏目标服务器、服务或网络的正常运行时,您将面临分布式拒绝服务 (DDoS) 攻击。
DDoS 攻击 试图通过生成大量恶意 Internet 流量来淹没目标的可用资源,从而拒绝对目标服务器的访问。我们实施流量过滤解决方案来防止此类攻击并确保最长的正常运行时间。
我们不断改进我们的服务并更新我们的系统以保持领先地位。今天,我们将详细介绍如何对抗 DDoS 攻击,并解释 Wanguard 流量过滤器和一般基础设施的配置。
攻击是什么样的?
这是 DDoS 攻击的真实示例。想象一下,400 Mbps 的 UDP 流量流向具有 100 Mbps 可用带宽的 VPS。
简单 Jekyll 网站加载时间结果:
攻击前:0.08 秒。
攻击期间:23.35 秒(第一次尝试)、30.86 秒(第二次尝试)。
DDoS 攻击通常很难缓解,因为它们通常涉及针对您的整个或多个僵尸网络。僵尸网络由许多受感染的系统组成,因此大多数情况下,凭自己的意愿对抗它是徒劳的。
我们如何应对 DDoS 攻击
我们有两种 DDoS 缓解解决方案来应对对我们基础设施的传入攻击: 远程触发黑洞 (RTBH) 和 流量过滤。
RTBH 过滤 提供了一种在不需要的流量进入我们的基础设施之前快速删除该流量的方法。虽然这种方法有效地保护了我们作为服务提供商的基础设施,但它阻止了所有流量影响我们,这不是我们的客户所喜欢的。最终,您的网站和 VPS 变得完全无法访问。结果,攻击者实现了他们的目标。
流量过滤 是我们服务的下一级 DDoS 保护。它只能阻止恶 伊朗电报数据 意流量,而不是阻止一切。通过检查流经我们基础设施的数据包来识别恶意流量。检查以下流量元素的特定模式:
数据包有效负载
始发港
源IP
目的港
国家
还有更多
此过滤过程是在流量到达我们的服务之前在我们的基础设施中完成的,因此我们的客户无需担心。
流量过滤
配置
我们已经为我们的配置实现了 离线过滤 。由于我们很少遇到强大的DDoS攻击, 内联过滤 在实际实用性和成本方面效率较低;相反,我们有 RTBH 方法 来对抗它们。
简化的过滤配置拓扑
简化的过滤配置拓扑
我们的配置涉及连接到 骨干交换机的过滤器实例, 通过这些交换机来转移流量。我们使用从主干实例发送到过滤器实例的 sFlow 来调查并在必要时转移流量。干净的流量被转发到叶子交换机,而恶意流量则在过滤器实例处被丢弃。重要的是要记住, 流量过滤 和 重新路由过程 是 完全自动化的。
如果任何目标主机遇到的流量峰值超过我们设定的阈值,我们将使用 ExaBGP 将该 IP 地址通告到主干网。 当流量到达过滤器实例时,我们检查传入的数据包以识别攻击模式。完成后,新规则将添加到防火墙中,防止恶意流量到达其目的地。
硬件
过滤服务器依赖的主要元素是CPU和NIC。经过一些测试和研究,我们决定采用以下方法:
CPU:Intel(R) Xeon(R) Silver 4215R @ 3.2 GHz。
网卡:Intel XL710(40G)。
在流量约为 1.5 Mpps 和 8 Gbps的DDoS 攻击期间 ,CPU 使用率如下所示:
8 Gpbs 流量的 CPU 使用率图表,最大使用率为 24.2%。
自动化
手动管理所有数据中心的多个过滤
器实例是很困难的。因此,整个解决方案从攻击检测到阈值配置都是完全自动化的。目前,我们使用 Chef 和 Ansible 作为基础设施即代码 (IaC)。一次更改所有实例的阈值或其他设置就像更改几行代码一样简单。
配置
这是我们的设置的先睹为快:
主机机器的 Hostinger 代码设置
我们的实例必须能够在接口之间路由数据包,因此转发对于 IPv4 和 IPv6 都是活动的。由于我们没有通过用于流量转发的接口的路由,因此我们必须像我们所做的那样禁用反向路径过滤或将其设置为“宽松模式”,以便 都可以让网络托管变得 通过这些接口到达的数据包不会丢失。
我们已将 NAPI 轮询周期 (net.core.netdev_budget) 中的最大数据包数量增加到 1000。由于在这种情况下我们更喜欢吞吐量而不是延迟,因此我们已将环形缓冲区设置为最大值。
配置 Hostinger 环参数,环缓冲区设置为 4096。
我们已经运行这个解决方案六个月了,可以看到这些小的 当您检测 变化足以应对任何预期 2017 年国际理论物理中心会议 规模的攻击。我们没有深入研究系统调整,因为默认值是合理的,不会引起任何问题。