CC攻击其实就是DDOS的一种。CC攻击的原理是利用大量代理ip不断向网站发送数据包。这些要求是真实的。如果网站瞬间收到大量请求,会导致服务器资源耗尽,直至网站崩溃。因为CC攻击的门槛比较低,一般稍微懂点计算机基础的人都可以利用CC攻击软件对网站发起CC攻击。
被DDoS攻击很尴尬。如果我们有好的DDoS防御方法,很多问题都会迎刃而解。来看看我们有哪些常用有效的方法来做好DDoS防御。
了解DDoS防御:
应对DDoS是一个系统工程。仅仅依靠某个系统或产品来预防DDoS是不现实的。可以肯定的是,目前完全消除DDoS是不可能的,但是通过适当的措施,可以防止90%的DDoS攻击。因为攻击和防御都是有成本的,如果通过适当的措施增强了抵抗DDoS的能力,就意味着攻击者的攻击成本增加,那么大部分攻击者就会无法继续,放弃,相当于成功抵抗了DDoS。
例如:
我开了一家餐厅,正常情况下最多可以同时容纳30个人。你直接进餐厅,找个桌子点单,马上就可以吃了。
很不幸,我得罪了一个流氓。他同时派了300个人进餐厅。这些人看起来都是正常的顾客,大家都说“快点吃吧”。但是餐厅的容量只有30人,不可能同时满足这么多的点餐需求。另外,他们把所有的门都堵上了,里三层外三层,正常吃饭的客人根本进不去,实际上让餐厅瘫痪了。
这就是DDoS攻击,短时间内发起大量请求,耗尽服务器资源,无法响应正常访问,导致网站实际下线。
DDoS中的DoS是拒绝服务的缩写,说明这种攻击的目的是中断服务。前面d是分布式的,意味着攻击来自四面八方而不是一个地方,所以更难防范。你关上前门,他从后门进来;你关上后门,他从窗户跳出去了。
DDoS防御的方法:
1.采用高性能网络设备。
首先要保证网络设备不能成为瓶颈。所以在选择路由器、交换机、硬件防火墙等设备时,尽量选择知名度高、口碑好的产品。如果与网络提供商有特殊关系或协议,那就更好了。当大量攻击发生时,要求他们限制网络连接处的流量来对抗某种DDoS攻击是非常有效的。
2.尽量避免使用NAT
无论是路由器还是硬件保护墙设备,尽量避免使用网络地址转换(NAT),因为这种技术会大大降低网络通信能力。其实原因很简单,因为NAT需要来回转换地址,转换过程中需要计算网络包的校验和,所以浪费了大量的CPU时间。但是有时候需要使用NAT,所以没有什么好的办法。
3.足够的网络带宽保证
网络的带宽直接决定了抵御攻击的能力。如果只有10M带宽,无论采取什么措施,都难以对抗目前的SYNFlood攻击。目前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上。但是需要注意的是,主机上的网卡是1000M并不代表它的网络带宽是千兆的。如果连接到100M的交换机,其实际带宽不会超过100M,而如果连接到100M的带宽,并不意味着会有百兆的带宽,因为网络服务提供商很可能会将交换机上的实际带宽限制在10M。这一点必须搞清楚。
4.升级主机服务器硬件。
在保证网络带宽的前提下,请尽量提高硬件配置。要有效对抗每秒100,000个SYN攻击包,服务器的配置至少应该是P4 2.4G/DDR512M/SCSI-HD。CPU和内存起着关键作用。如果你有志强双CPU,就用吧。内存必须是DDR高速内存,硬盘应该是SCSI。不要贪图IDE的便宜,否则你会付出很高的性能价格。然后,网卡必须是3COM或者Intel等知名品牌的。如果是Realtek,应该在自己的PC上使用。
5.把网站做成静态页面或者伪静态。
大量事实证明,让网站尽可能的静态化,不仅可以大大提高抗攻击能力,也会给黑客带来很多麻烦。至少到现在为止,HTML的溢出还没有出现。看一看!门户网站如新浪、搜狐、网易等。主要是静态页面。如果不需要动态脚本调用,就拿到另一台单独的主机上,这样主服务器在被攻击时就不会被攻破。当然,放一些没有正确调用数据库的脚本也是可以的。另外,最好拒绝使用代理访问需要调用数据库的脚本,因为经验表明,使用代理访问你的网站80%是恶意的。
6.增强操作系统的TCP/IP堆栈
Windows操作系统本身有一定的抵御DDoS攻击的能力,但默认不开启。开启的话可以抵御10000个左右的SYN攻击包,不开启的话只能抵御几百个。怎么开机?自己看看微软的文章吧!
7.安装专业防DDoS防火墙
8.HTTP请求的拦截
如果恶意请求有特征,处理起来很简单:直接拦截即可。
HTTP请求一般有两个特征:IP地址和用户代理字段。例如,如果所有恶意请求都来自一个IP网段,那么拦截该IP网段就足够了。或者,如果他们的用户代理字段具有特征(包含特定的单词),那么具有该单词的请求将被拦截。
9.备份网站
你应该有一个备份网站,或者至少有一个临时主页。如果生产服务器离线,可以马上切换到备份网站,所以没有办法。
备份网站不一定全功能,但如果能静态全浏览,就能满足需求。最起码应该可以显示公告告诉用户网站有问题,正在全力修复。这个临时主页建议放在Github页面或者Netlify上。它们带宽大,可以应对攻击,而且都支持绑定域名,可以从源代码自动构建。
10.部署CDN(建议使用CDN)
CDN就是把网站的静态内容分布到多个服务器上,让用户就近访问,从而提高速度。所以CDN也是一种带宽扩展的方法,可以用来防御DDOS攻击。
网站存储在源服务器中,CDN是内容的缓存。用户只允许访问CDN。如果内容不在CDN上,CDN向源服务器发送请求。这样,只要CDN足够大,就能抵御一次大的攻击。但是这种方法有一个前提,就是网站的大部分内容必须是静态缓存的。对于有动态内容的网站(比如论坛),要想办法尽量减少用户对动态数据的请求。
大的云服务商提供的高防护IP背后也是如此:网站域名指向高防护IP,提供一个缓冲层来清洗流量,缓存源服务器的内容。
这里有一个关键点。一旦上了CDN,千万不要泄露源服务器的IP地址,否则攻击者可以绕过CDN,直接攻击源服务器。之前的努力都白费了。搜索“绕过CDN获取真实IP地址”就知道国内黑产行业有多猖獗了。
1.其他防御措施
以上针对DDoS的建议,适合绝大多数拥有自己主机的用户。但如果采取上述措施后仍不能解决DDoS问题,那么会有一些麻烦,可能需要更多的投入,比如增加服务器数量,采用DNS轮巡或负载均衡技术,甚至购买七层交换机设备,这样可以使DDoS攻击抵抗力翻倍,只要投入足够深。
本文来自柠檬琉璃夏投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/499272.html
微信扫一扫 
