標籤:

伺服器被 DDos 攻擊就沒有有效的處理方法嗎?

12-29

什麼類型的DDOS攻擊?不同的攻擊防範也不同

1. 防火牆,硬體防火牆對於 SYN FLOOD攻擊還是有效地,也有一些軟體可以work
2. 一些腳本,apache/nginx 插件可以防止CC類型的攻擊
3. 使用CDN, 別人看不到源伺服器,這樣必須要攻擊掉CDN才能搞癱你,不過你可能因為流量要出更多的錢
4. 精研常見攻擊的方法原理和應對,力度不大的說不定自己就寫腳本可以對付了
5. 找人擺平,假如你知道是誰幹的...... 要不就花錢消災

沒有。

簡單扼要的回答你,沒有。

硬防能起點作用,但效果也是非常有限的。不要以為機房有了硬防就是萬能的,也不好覺得你交了錢機房就會為你赴湯蹈火。20G,30G的流量灌進來,不是Tier1的AS自身都難保,還有空搭理你?一般到這個份上,解決辦法都是在上位的路由器交換機上直接把你到你IP流量引入黑洞來,以保護運營商自己的網路。

處理了嗎?處理了

有效嗎?當然有效了

但正常流量攻擊流量統統被砍,雖然對伺服器攻擊算是擋住了,防禦期間正常用戶也別想進來。

摔。。。。。你跟說這叫有效防禦?

這正是DDOS的可怕之處,說讓你死,你就必須死。

除了硬抗,沒有別的好辦法。

可以在伺服器上安裝相應的防護軟體,伺服器安全狗在這方面的防禦效果還不錯。
在伺服器安全狗的網路防火牆模塊中有DDOS的防護功能,開啟該功能後對syn攻擊和流量攻擊掃描攻擊設定合適的規則參數就可以起到防禦DDOS攻擊的效果。

DDos防禦需要根據不同的攻擊類型和不同的攻擊方式指定對應的策略才能達到最有效的防禦。常見的DDos包括:Flood、CC和反射等。

1、flood攻擊

Flood類的攻擊最常見並簡單有效,黑客通過控制大量的肉雞同時向伺服器發起請求,進而達到阻塞服務端處理入口或網卡隊列。

針對消耗性Flood攻擊,如:SYN
Flood、ACK
Flood、UDP
Flood,最有效並可靠的防禦方法是做源認證和資源隔離,即:在客戶端和服務端建立回話時對請求的源進行必要的認證,並將認證結果形成可靠的白名單或黑名單,進而保證服務端處理業務的有效性。

若黑客肉雞足夠多並偽造數據包的真實性較高時,只能通過提升服務端的處理速度和流量吞吐量來達到較好的對抗效果。

2、CC攻擊

CC攻擊是一種針對Http業務的攻擊手段,該攻擊模式不需要太大的攻擊流量,它是對服務端業務 處理瓶頸的精確打擊,攻擊目標包括:大量數據運算、資料庫訪問、大內存文件等,攻擊特徵包括:

a、只構造請求,不關心請求結果,即發送完請求後立即關閉會話;

b、持續請求同一操作;

c、故意請求小位元組的數據包(如下載文件);

d、qps高;

針對CC的攻擊的防禦需要結合具體業務的特徵,針對具體的業務建立一系列防禦模型,如:連接特徵模型,客戶端行為模型,業務訪問特徵模型等,接收請求端統計客戶信息並根據模型特徵進行一系列處理,包括:列入黑名單,限制訪問速率,隨機丟棄請求等。

3、反射類攻擊

反射攻擊是一種模擬攻擊客戶端請求指定伺服器,並利用請求和應答之間的流量差值進行流量放大,進而達到攻擊效果的攻擊方式,常見的攻擊類型包括:NTP,DNS等。

針對反射攻擊比較有效的防禦手段有:訪問請求限速、反射流限速、請求行為分析等,這些防禦手段沒法完全過濾攻擊流,只能達到抑制攻擊的效果。

利益相關:

DDoS高防服務-DDOS攻擊防禦-DDos壓力測試_網易雲

DDoS防護服務_DDoS檢測識別_DDoS攻擊防禦_大流量攻擊-網易雲

加大帶寬,使用流量清洗設備。

轉移到有硬體防護的機房,其他沒有辦法~~~~

發生在應用層的,流量跟正常的差不多,比較難處理,雖然也能搞定不至於宕機,但是帶寬有限,正常訪問肯定有影響
發生在傳輸層的,估計要用硬體防火牆,不過歸根到底,還是帶寬問題

如果是對伺服器來說的話,可以在網際網路接入端加DDoS清洗。如果是對入口帶寬的話,運營商可以提供相應的服務。

選擇帶硬防的機房吧

機房的帶寬肯定比單個獨立伺服器帶寬大的多。機房部署的硬體防火牆,搭配大帶寬的清洗效果還是很不錯的。也不需要消耗伺服器資源來抵禦攻擊。

一般市面上的防護產品屬於硬擋, 都有流量上限的問題, 你購買的頻寬永遠比不上 DDoS 增加的流量. 要根治必須靠有效的機制, 能夠具有無流量上限的能力才擋得下來. 若有需要可與我連繫 ep@hifans.net , 可以免費測試一星期.

可以通過聚類,對「中長期信用良好」的用戶提高通過率,對「登陸次數不多」的用戶降低通過率。
這樣可以從統計意義上防止「有目的的攻擊」。

這個問題你得先知道DDOS有哪些攻擊方法,就知道為什麼不可以防禦了。因為從伺服器能看到的信息來分析,可能都不存在明顯的「攻擊」,何來的「防禦」?

有需要的話可以聯繫我…

有,報警,讓有關部門幫助你。

1:nginx端屏蔽訪問

修改nginx配置文件,添加如下記錄

location ~ //you_url{

return 404;

}

問題:發現請求堵塞在haproxy上面去了

2:修改haproxy的配置

acl invalid_req url_sub -i c=220

block if invalid_req

問題:依然不能解決haproxy堵塞的問題

3:在haproxy機器上禁止IP訪問。

在nginx下找到IP最多的幾個IP,到/data/management/logs中去執行

cat http://www.access.log | awk -F " "{print $7}" | sort | uniq -c | sort -rn | head
-n 300

得到訪問最多的IP列表

通過vim的列編輯功能,限制這些ip的訪問。(300個是可以繼續加大的,看最後一行的最小值)

iptables -I INPUT -s 218.66.51.197 -j DROP

iptables -I INPUT -s 183.205.228.248 -j DROP

iptables -I INPUT -s 59.39.181.217 -j DROP

iptables -I INPUT -s 218.76.255.3 -j DROP

iptables -I INPUT -s 110.81.116.67 -j DROP

iptables -I INPUT -s 220.178.35.226 -j DROP

iptables -I INPUT -s 218.207.198.17 -j DROP

iptables -I INPUT -s 61.175.231.96 -j DROP

iptables -I INPUT -s 221.193.244.115 -j DROP

iptables -I INPUT -s 171.36.103.115 -j DROP

硬防的話 找個有硬防的機房,軟防推薦使用安全狗,防入侵、CC攻擊、DDOS都可以抵擋

關伺服器

推薦閱讀:

如何在linux伺服器上用 PHP 執行 python 腳本?
linux下配的ftp伺服器埠僅僅開21,20埠還不夠?
在Windows中,選擇TCP/IPv4協議設置中的」自動獲取DNS伺服器地址「,計算機究竟做了什麼?
中國能否在未來擁有根伺服器?
免費dns伺服器8.8.8.8 接收全世界這麼多請求,這台伺服器性能得多高啊,怎麼才能扛住這麼多請求?

TAG:伺服器 | 黑客Hacker | 網路攻擊 | DDoS | 破解者Cracker |