服務(wù)器ddos防御是一項很讓所有站長玩家頭疼欲裂的深淵,服務(wù)器ddos防御不是防一種攻擊,而是一大類攻擊,你可能要面臨幾十種類型的攻擊模式,新型攻擊還在進(jìn)化。而且網(wǎng)站運行的各個環(huán)節(jié),都可以是攻擊目標(biāo)。只要把一個環(huán)節(jié)攻破,使得整個流程跑不起來,就達(dá)到了癱瘓服務(wù)的目的。
ddos防御服務(wù)器:http://www.bxgb88.com/dedicated/hk-ddos.html
ddos防御。最常見的流量攻擊是大量正常的請求,超出服務(wù)器的最大承受量,導(dǎo)致網(wǎng)站服務(wù)器宕機。可能你的網(wǎng)站平時一天四五百個IP,突然有一天,用戶請求像洪水一樣涌來,幾百個不同的IP同時訪問,幾分鐘的時間,日志文件的體積就大了100MB。說實話,小到幾個G大到幾十個G的流量,這種情況下如何做好服務(wù)器ddos防御,cdn防護(hù)和高防服務(wù)器哪個更適合網(wǎng)站?
服務(wù)器防御ddos的五個段位:
1、青銅段位:做好網(wǎng)站備份
對于任何突發(fā)事件多有退路,防范
服務(wù)器DDOS防御更重要,就是你要有一個備份網(wǎng)站,或者最低限度有一個臨時主頁。萬一服務(wù)器被打死了,攻擊結(jié)束后可以切換到備份網(wǎng)站,畢竟任何攻擊多不可能是永遠(yuǎn)的,ddos攻擊成本也非常高。
備份網(wǎng)站不一定是全功能的,如果能做到全靜態(tài)瀏覽,就能滿足需求。最低限度應(yīng)該可以顯示公告,告訴用戶,網(wǎng)站出了問題,正在全力搶修。我的個人網(wǎng)站下線的時候,我就做了一個臨時主頁,很簡單的幾行
HTML 代碼。這種臨時主頁建議放到 Github Pages 或者
Netlify,它們的帶寬大,可以應(yīng)對攻擊,而且都支持綁定域名,還能從源碼自動構(gòu)建。
2、白銀段位:網(wǎng)絡(luò)節(jié)點配置防火墻
我們使用的網(wǎng)絡(luò)設(shè)備包含了路由器、防火墻以及負(fù)載均衡等設(shè)備,它們實際可以將網(wǎng)絡(luò)保護(hù)起來,最大限度的降低DDoS攻擊,以此達(dá)到防御的目的。而且我們使用的防火墻本身是可以防御DDoS攻擊的。我們在配置策略的時候,可以將出現(xiàn)的攻擊,通過防火墻技術(shù)引向部分作為犧牲的主機,來保護(hù)我們使用的服務(wù)器不受到攻擊。
3、黃金段位:攔截限制流量、過濾地址
HTTP 請求的攔截,如果惡意請求有特征,對付起來很簡單:直接攔截它就行了。HTTP 請求的特征一般有兩種:IP 地址和 User Agent
字段。比如,惡意請求都是從某個 IP 段發(fā)出的,那么把這個 IP 段封掉就行了。或者,它們的 User Agent
字段有特征(包含某個特定的詞語),那就把帶有這個詞語的請求攔截。
攔截可以在三個層次
(1)專用硬件:Web 服務(wù)器的前面可以架設(shè)硬件防火墻,專門過濾請求。這種效果最好,但是價格也最貴。
(2)本機防火墻:操作系統(tǒng)都帶有軟件防火墻,Linux 服務(wù)器一般使用 iptables。比如,攔截 IP
地址1.2.3.4的請求,可以執(zhí)行下面的命令。
$ iptables -A INPUT -s 1.2.3.4 -j DROP
iptables 比較復(fù)雜,我也不太會用。它對服務(wù)器性能有一定影響,也防不住大型攻擊。
(3)、Web 服務(wù)器,Web 服務(wù)器也可以過濾請求。攔截 IP 地址1.2.3.4,nginx 的寫法如下。
location / {
deny 1.2.3.4;
}
Apache 的寫法是在.htaccess文件里面,加上下面一段。
Require all granted
Require not ip 1.2.3.4
如果想要更精確的控制(比如自動識別并攔截那些頻繁請求的 IP 地址),就要用到 WAF。這里就不詳細(xì)介紹了,nginx
這方面的設(shè)置可以參考這里和這里。Web 服務(wù)器的攔截非常消耗性能,尤其是 Apache。稍微大一點的攻擊,這種方法就沒用了。
4、白金段位:關(guān)閉端口、定期掃描
我們需要定期對服務(wù)器使用的網(wǎng)絡(luò)節(jié)點進(jìn)行掃描,檢查存在的安全漏洞,并及時對漏洞進(jìn)行處理。另外,我們需要關(guān)閉掉服務(wù)器上不常使用的端口,降低被網(wǎng)絡(luò)攻擊的幾率。目前這類方法是普遍采用的方式。
5、磚石段位:利用網(wǎng)絡(luò)設(shè)備資源抵御攻擊
①、增加服務(wù)器帶寬: DDOS 攻擊是沒有特征的,它的請求看上去跟正常請求一樣,而且來自不同的 IP 地址,所以沒法攔截。這就是為什么 DDOS 特別難防的原因。當(dāng)然,這樣的 DDOS 攻擊的成本不低,普通的網(wǎng)站不會有這種待遇。不過,真要遇到了該怎么辦呢,有沒有根本性的防范方法呢?
答案很簡單,就是設(shè)法把這些請求都消化掉。對于網(wǎng)站來說,就是在短時間內(nèi)急劇擴容,提供幾倍或幾十倍的防御。頂住大流量的請求。這就是為什么云服務(wù)商可以提供防護(hù)產(chǎn)品,因為他們有大量冗余帶寬,可以用來消化 DDOS 攻擊。
4、增加防御CDN
CDN 指的是網(wǎng)站的靜態(tài)內(nèi)容分發(fā)到多個服務(wù)器,用戶就近訪問,提高速度。因此,CDN 也是帶寬擴容的一種方法,可以用來防御 DDOS 攻擊。
網(wǎng)站內(nèi)容存放在源服務(wù)器,CDN 上面是內(nèi)容的緩存。用戶只允許訪問 CDN,如果內(nèi)容不在 CDN 上,CDN 再向源服務(wù)器發(fā)出請求。這樣的話,只要 CDN 夠大,就可以抵御很大的攻擊。不過,這種方法有一個前提,網(wǎng)站的大部分內(nèi)容必須可以靜態(tài)緩存。對于動態(tài)內(nèi)容為主的網(wǎng)站(比如論壇),就要想別的辦法,盡量減少用戶對動態(tài)數(shù)據(jù)的請求。
上一節(jié)提到的鏡像服務(wù)器,本質(zhì)就是自己搭建一個微型 CDN。各大云服務(wù)商提供的高防 IP,背后也是這樣做的:網(wǎng)站域名指向高防 IP,它提供一個緩沖層,清洗流量,并對源服務(wù)器的內(nèi)容進(jìn)行緩存。這里有一個關(guān)鍵點,一旦上了 CDN,千萬不要泄露源服務(wù)器的 IP 地址,否則攻擊者可以繞過 CDN 直接攻擊源服務(wù)器,前面的努力都白費。搜一下"繞過 CDN 獲取真實 IP 地址",你就會知道國內(nèi)的黑產(chǎn)行業(yè)有多猖獗。
上一篇:
盤點一下高級玩家,為什么普遍用香港ip代理?
下一篇:
cdn加速價格受什么影響?給你3個答案
