主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御的攻击之一。
ddos攻击最大的难点在于攻击者发起的攻击的成本远低于防御的成本。比如黑客可以轻易的控制大量肉鸡发起10G,100G的攻击。而要防御这样的攻击10G,100G带宽的成本却是100W,1000W….
防御手段:
总体来说,从下面几个方面考虑:
硬件
单个主机
整个服务器系统
硬件:
1.增加带宽
带宽直接决定了承受攻击的能力,增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本非常高。
2、提升硬件配置
在有网络带宽保证的前提下,尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置,选用知名度高、口碑好的产品。
3、硬件防火墙
将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击
单个主机:
1、及时修复系统漏洞,升级安全补丁。
2、关闭不必要的服务和端口,减少不必要的系统加载项及自启动项,尽可能减少服务器中执行较少的进程,更改工作模式
3、iptables
4、严格控制账户权限,禁止root登录,密码登录,修改常用服务的默认端口
整个服务器系统:
1.负载均衡
使用负载均衡将请求被均衡分配到各个服务器上,减少单个服务器的负担。
2、CDN
CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率,因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制,CDN则更加理智,多节点分担渗透流量,目前大部分的CDN节点都有200G的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。
3.分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
高防云主机可以抗DDoS攻击,下面以美国高防云主机为例介绍其相关优势:1、无备案、无线路限制
国内创建网站的用户逃不掉一个极其繁琐的操作,那就是备案,针对不同的机房,其要求时限的也不尽相同,有的时候必须保证备案后才可以接入,没有备案号域名方根本没有机会和权利接入,不然就会面临网站关闭的风险。而美国高防云主机省去了备案操作,同时用户也省去了对于国内电信跟网通互联不互通的担心。关键的是,用户购买该产品后可以即买即用,该产品还同时支持多个网站上线,如此方便,受广大站长欢迎也是早晚的事情。
2、抵御网络攻击
一听名字,高防,其安全性不言而喻。很多企业在计划建站时都会倾向于选择一款能够同时阻止DDoS、CC等外来攻击的美国高防云主机。不仅如此,用户信赖该产品的主要原因还在于其提供了海量带宽,采用了一流的流量牵引技术,与恶意软件或者攻击防御所代表的安全性相结合,提供安全性能双保障。
3、访问速度快
访问速度快也算是性能方面最直观的一种体现。美国高防云主机由于机房设在美国,无疑对北美、欧洲客户最友好托管无疑是最佳选择,当然因为大部分产品所处机房位于洛杉矶、硅谷一带,与中国大陆仅隔一座太平洋,国内用户访问速度也不会差,甚至可以说与国外用户相差无几。一些著名品牌的相关产品会提供BGP国际带宽或者支持CN2线路,方便路由快捷传输。
4、价格低
不要被配置高价格就一定贵的惯性思维所打扰,实际上美国高防云主机价格比普通美国高防服务器价格便宜很多,很多小站长也是可以用的起的。而且该产品IP资源丰富,也十分有利于搜索引擎优化。就这一点上,用户只能想到该产品提供DDoS防御服务显然就有点落伍了。
WHT中文站针对相关产品提供商的产品信息和排名情况进行了介绍,值得参考。
阿里云服务器能抗ddos吗?可以抗多少流量的ddos?是部分担心遭到DDOS攻击的用户比较关心的问题,因为网站遭遇到DDoS攻击是很多用户非常烦恼的事情,网站一旦遭到DDOS攻击很容易导致网站无法访问而又难以解决,阿里云服务器都有一定的DDoS基础防护,下面我们一起看看!
阿里云服务器能抗ddos吗?
阿里云服务器根据地域和配置的不同,可以免费抗一定流量的DDOS攻击,但是超过初始黑洞触发阈值就抗不了了,会进入黑洞。
阿里云服务器可以抗多少流量的ddos?
用户在购买阿里云服务器之后,云盾DDoS基础防护会为用户提供一定的DDoS基础防护,各个地域默认初始黑洞触发阈值如下表所示(单位:bps)。参考资料: DDOS防护
默认的黑洞时长是2.5个小时,黑洞期间不支持解封。 实际黑洞时长视攻击情况而定,从30分钟到24小时不等。黑洞时长主要受以下因素影响:
从以上信息,我们可以知道,阿里云服务器根据地域和配置的不同,可以免费抗一定流量的DDOS攻击,但是超过初始黑洞触发阈值就抗不了了,会进入黑洞,因此,如果DDOS流量过大,还是需要用户自己采取一些措施或者付费买DDOS防护等产品。 点此进入阿里云DDoS防护服务 :获取更高的带宽清洗能力并将防御前置到网络边缘。包含DDoS高防(新BGP)、DDoS高防(国际)、DDoS原生防护、游戏盾等
作为用户,我们应该如何防止云服务器被DDOS?
我们在使用阿里云服务器的时候,我给出几个建议。
1、挂cdn隐藏IP,在换成新的ip后,请务必挂cdn对真实的ip进行隐藏。参考资料: 阿里云CDN-内容分发网络-CDN网站加速
2、cdn还可以不止套一层,可以多层一起嵌套。
3、准备多个服务器做反向代理(配置可以不高能运行nginx就行,最好是那种空路由时间短的),每个反向代理服务器都指向主服务器节点,都绑定一个二级域名,都挂上不同的cdn。
4、主域名可以随时解析到任意一个反向代理服务器,并且可以挂免费的云监控来实时知晓状态,一个节点死了改解析就行。
5、在防火墙层面禁止所有的国外ip(这是大部分肉鸡主要来源),可以很好的降低攻击流量。
以上是比较简单,低成本的方法,如果钱多的话,建议购买阿里云高防IP和高防CDN等防御产品,这样针对不同场景不同的环节也有针对性的防御方案。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)