高防IP是什么，防攻击的原理是什么

经常有听到高防IP，但是很多人都不知道高防IP是什么，需要怎么配置？那些业务才能使用？到底能不能防的住攻击？如果感兴趣的话就继续往下看吧~

高防IP，顾名思义是提供一个带防御的IP，就像一个引流器，将攻击流量引到高防IP上去，源机IP就可以得到很好的保护。比如，数据还没来得及转移到另一台高防服务器上，但是攻击已经来了，再使用高防服务器就来不及了，这时就可以选择使用高防IP，通过配置高防IP，立即将攻击流量进行引流，确保源站的稳定可靠。高防IP是防御网络攻击的一种手段，主要是防御DDOS和CC攻击。

如何实现隐藏源IP起到保护作用：

公网流量都会走高防机房，通过转发的方式，将用户的访问通过高防IP转发到源站，同时将恶意攻击流量在高防IP上清洗过滤后将正常流量返回给源站，从而确保源站IP的稳定。使用高防IP后，对外显示的是高防IP，是查询不到真实IP的。

配置方法：

购买高防IP后把域名解析到高防IP上，添加域名和源IP形成CNAME，再将域名解析到CNAME上（web业务只要把域名指向高防IP；非web业务，把业务IP改成高防IP即可）同时在高防IP后台设置转发规则。

优点：

WEB和游戏都适用。不需要转移数据，也不需要重新搭建，适合那种不想或者不方便更换高防服务器，且自身服务器防御能力较低或者无法防住攻击的服务器，只要做好设置马上就能使用，方便快捷！

　1.在各个地区部署代理ip的节点，使访问者能够迅速连接到附近的节点，使访问者能够更快地访问网站，CDN缓存能够进一步提高网站的访问速度，减轻对网站服务器的压力，提高网站服务器的稳定性。

2.代理ip的防御机制并非一种固定的防御策略。针对各种攻击类型，可以更好的阻断清理攻击，针对网站的攻击类型，采取针对性的防御策略。

3.网站服务器隐藏在后端，代理ip节点部署在前端，访问者访问或攻击与代理ip节点连接，代理ip的防御机制自动识别是否为攻击，如果有，则自动清洗过滤。

4.将网站域名分析为代理ip自动生成的CNAME记录值，并修改网站域名分析，网站域名未分析为网站服务器IP，从而使网站服务器IP地址隐藏在公共网络中。

由于工作需要我就自己写了一个简单的防止IP攻击的脚本,可以防止linux虚拟主机一些小方面的IP攻击系统是基于RHEL的centos,包括3,4,5三个版本,当然自己也初学shell,中间肯定用了很多笨的办法,效果也不一定怎么样,请大家给点意见注意:这个脚本是根据apache服务器的server-status和系统的dmesg分析结果进行防范的,所以非apache用户和没有开启server-status的朋友没法使用可以在服务器的crontab里设定每一分钟运行一次脚本, 复制下面的脚本到autoblock.sh,root用户下# chmod u+x autoblock.shQUOTE:#!/bin/bash# author hao32# basic settingecho 1 >/proc/sys/net/ipv4/tcp_syncookies# find server-status namess_name="/usr/local/autoblock"if [ -e $ss_name/ss_name ]thenss_n=`cat $ss_name/ss_name`elsemkdir /usr/local/autoblock >/dev/null 2>&1cat `locate httpd.conf|grep -E "httpd/conf/httpd.conf$|apache_ssl/conf/httpd.conf$"`\|grep "n /server-status"|cut -d/ -f2|cut -d\>-f1 >$ss_name/ss_namess_n=`cat $ss_name/ss_name`fi# block setting# 设定排除的IP地址ip_exclude="192.168.1.*|60.195.249.*|222.76.212.*|218.241.156.*|58.215.87.*|218.107.216.110"ip_amou=25ss_url=" http://127.0.0.1/$ss_n?notable "ss_tmp="/tmp/server-status"poss_ip="/tmp/poss_ip"real_ip="/tmp/real_ip"# block start...if [ -e "$poss_ip" ]thenecho "" >$poss_ipfiif [ -e "$real_ip" ]thenecho "" >$real_ipfi# analyse demsgdmesg |grep "short"|awk '{if($4!="From"){print $4} else {print $5}}'|awk -F: '{print $1}'|sort|uniq>>$poss_ipwget -q -O "$ss_tmp" "$ss_url"grep " " $ss_tmp|grep -vE $ip_exclude|awk '{print $1}'|sed 's/ //g'|sort|uniq -c\|awk '{if($1>'$ip_amou') print $2}'>>$poss_ip#iptables -nvL|grep "DROP "|awk '{print $8}'|sort|uniq|sed 's/0\/24/*/g'>$rule_iprule_ip=`iptables -nvL|grep "DROP "|awk '{print $8}'|sort|uniq|sed 's/0\/24/*/g'|xargs|sed 's/\ /|/g'`if [ -z $rule_ip ]thenfor i in `cat $poss_ip`do/sbin/iptables -I INPUT -p all -s $i -j DROPdoneelsecat $poss_ip|grep -vE "$rule_ip" >$real_ipfor i in `cat $real_ip`do/sbin/iptables -I INPUT -p all -s $i -j DROPdonefi

---