这是一个创建于 705 天前的主题,其中的信息可能已经有所发展或是发生改变。
这两天 OpenAI 说被 DDOS 导致服务不行。 这么大的公司,还是全球提供服务的,都能被 DDOS 成这样。 攻击者的成本很低吗?(打成这样一天能要几万吗?) 如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢? 还有 Azure 的 ChatGPT 很稳,是因为世界上没有人可以把微软服务器 DDOS 废吗? 如果 70 亿人同时访问呢?假如 70 亿人同时访问,都不会挂,是不是地球上没有生物可以 DDOS 掉软了?
小白不是很懂网络,一直感觉 DDOS 仿佛是个无敌的技能(除非抓住始作俑者) 求赐教。
 | 1 retanoj 2023-11-09 14:04:03 +08:00 的确不好解决 |
 | 2 thinkm 2023-11-09 14:06:11 +08:00 DDOS 无解,只能用带宽硬扛 |
 | 3 Lightbright 2023-11-09 14:12:08 +08:00 via Android  2 #全球 70 亿人访问不挂是不是就无敌了 不是的,利用一些技巧可以使攻击流量放大很多倍,能产生 200 亿人同时访问的效果 例如前几天的 rapid reset 攻击 |
 | 4 dzdh 2023-11-09 14:12:23 +08:00 DDoS 无解。只能跟对方拼带宽。成本也没几个钱(相对看攻击的目标) |
 | 5 itskingname 2023-11-09 14:23:53 +08:00 每天从境内访问境外的数据流量也极其庞大,但是 GFW 却没有受到 DDoS 攻击的效果。所以应该有办法规避。 |
 | 6 sentinelK 2023-11-09 14:40:39 +08:00 "攻击者的成本很低吗?" 相对攻击效果而言,很低。入流的 DDoS 攻击并不是肉鸡、虚拟机直接给服务器发请求这么简单。可以通过一些手段放大攻击压力。(具体方法详见互联网,恕不赘述) "如果全球各地的肉鸡都 D OpenAI ,它能怎么解决呢?" DDoS 预防大于防御。 “一直感觉 DDOS 仿佛是个无敌的技能” 也不是,关键看被攻击者的经营策略。如果受害者想在自身业务完全不受影响的情况下,完美防御 DDoS ,确实不现实。 |
 | 7 EchoUtopia 2023-11-09 16:17:31 +08:00 想到一个方法可能可以缓解,可能比较天真:服务器压力大的时候,服务器每秒出若干个工作量证明题,并定时刷新和淘汰题目,服务器随机发送题目给客户端,这段时间,客户端必须发送题目 id 和答案给服务器,从而增加客户端成本。对于新建连接,客户端发起 syn 后,服务器的 ack 包含题目,第三次握手必须给出答案。这种方式也可以供服务器提供商识别自己有很多资源被当作肉鸡了。服务器没有恶意出题的目的,因为这种方式会增加客户端体验变差,不愿意去连接。 |
 | 8 yyzh 2023-11-09 16:25:47 +08:00 via Android @EchoUtopia DDoS 分 DD 和 CC.DD 是一大堆无用流量一起攻击,上级路由都处理不过来了那你服务器搞其他乱七八糟的全部都没用.因为首先你得能发得出去和能接收数据 |
 | 9 nicoljiang PRO @EchoUtopia 你这个只能缓解 CC 攻击,真正的 DDoS 是分布式流量攻击。是滔天的洪水、海啸。 |
 | 10 07212423 2023-11-09 16:28:56 +08:00 openai 应该接在 cloudflare 后面的,cloudflare 应该扛 ddos 很有经验才对 |
 | 11 orlog 2023-11-09 16:35:14 +08:00 1 单纯针对网络的 ddos 攻击可以通过流量清洗减轻很大影响,因为攻击者的大部分肉鸡或者发包模式都能被黑名单过滤,但是针对具体服务的 cc 攻击很难防御,因为攻击者只需要相对很少的流量,却能造成很大的后端运算消耗 |
 | 12 cyp0633 2023-11-09 16:50:48 +08:00 @EchoUtopia 这不就是 Cloudflare 的 challenge 在做的事情嘛 |
 | 13 shellcodecow 2023-11-09 16:56:03 +08:00 流量清洗还是可以的, 一边是服务加速 一边是硬抗 没其他方法。 对方攻击也要成本的,清洗以后的流量想要走正常流程,开启校验能再进来,成本也是不少。 |
 | 14 wangj00756 2023-11-09 17:00:32 +08:00 @07212423 大力飞砖,你再有经验也没用啊,这个真没办法 |
 | 15 cctv6 2023-11-09 17:07:25 +08:00 应该是 CC 攻击,openai 应该是放在 cloudflare 后面,ddos 的流量攻击主要的还是给到了 cloudflare 。如果是 CC 的话,清洗也会有漏掉的,量大的情况下后端还是会有消耗更多的计算资源。 |
 | 16 gps949 2023-11-09 17:11:16 +08:00 其实就类似无线电干扰。单纯的资源对抗。一切的奇技淫巧在绝对的资源优势面前都苍白无力。所以唯一对 DDoS 绝对有效手段就是:不公开服务。。。 |
 | 17 NoOne1 2023-11-09 17:31:23 +08:00 1 @itskingname 有没有一种可能,墙是旁路而不是串在里面? |
| 18 EchoUtopia 2023-11-09 19:11:56 +08:00 @cyp0633 看来我不是在瞎想,如果底层协议就考虑这些应该会好很多。 @yyzh @nicoljiang 搞个 dados 呢,distributed anti-dos ,支持工作量证明题传播,在边缘处验证 |
| 19 yyzh 2023-11-09 19:55:28 +08:00 via Android @EchoUtopia 简单点你把 DD 当成是服务器网线被拔就行.你现在所设想的一切都有一个前提就是你能收到请求.而 DD 所做的是使你收不到任何请求. |
 | 20 yolee599 2023-11-09 20:42:57 +08:00 via Android @EchoUtopia #7 不可行,因为大量的 IP 包会往你服务器发,不管你要不要都往网卡里怼,直接占满你的网卡队列。这时候除了关机或拔网线没有其他办法 |
 | 21 plasticman64 2023-11-09 20:46:39 +08:00 cloudflare 不能完全阻挡 ddos 吗? |
 | 22 jiangzm 2023-11-09 20:52:12 +08:00 @itskingname #5 此言差矣 |
 | 23 9A0DIP9kgH1O4wjR 2023-11-10 08:48:58 +08:00 @itskingname 但是墙并不负责处理数据,只是传输数据。openai 需要调用各种内部服务,消耗内部资源。 |
 | 24 JerryYuan 2023-11-10 09:14:00 +08:00 via Android @itskingname 之前看文了解过 GFW 还不是简单的过滤器,每个包都验证一下再放行。GFW 用的好像是旁路攻击的手段,把流量镜像一份,在旁路上开集群搞你,没问题的包就忽略,什么都不做,有问题的包就给你回个不可达的包,就欺负境外服务器路上时间长给你截胡了。(原理听起来可以抗更大流量,但是不是真的有待考究) |
 | 25 WashFreshFresh 2023-11-10 09:50:27 +08:00 那是所谓的同行攻击的吗,才可能有利可图,这么大量都是哪几方操纵的? |
 | 26 kenneth104 2023-11-10 10:17:32 +08:00 工作相关 1 ,攻击成本低于防御成本 2 ,除了服务器前端的墙,还有其他防御,但几大提供商都死过你就知道防不住 3 ,曾经朋友找到 X 信云墙 ( X 堤),但被劝退,防不住 |
| 27 nicoljiang PRO @EchoUtopia 你说的大概就是 anycast 吧 |
| 28 EchoUtopia 2023-11-10 17:01:52 +08:00 |
 | 29 sakura6264 2023-11-10 18:46:08 +08:00 @itskingname 有没有可能一般用户没那么有钱 |
 | 30 letmefly 2023-11-11 15:16:35 +08:00 ddos 是不是靠控制肉机来进行攻击? |
 | 31 yxmyxmyyy 2023-11-12 09:18:54 +08:00 via Android 好奇 openai 不是套了 cf 吗,应该可以防 dodos 吧 |
 | 33 hubaq 2023-11-16 18:14:52 +08:00 200G DDOS 的成本可能也就千八百块,但你向运营商买 200G 的带宽可不止几百万了 |
| 34 hubaq 2023-11-16 18:18:41 +08:00 @kenneth104 电信云堤都防不住,那这市面上也没人能防住了 |
| 35 kenneth104 2023-11-17 09:28:19 +08:00 @hubaq 抗不了的。。他自己就有几百 G 的防御,不行,找了几个同行,不行,找 x 信,不行。。。。 最后不知道是没做了还是怎么样 |
Select Language