-
1 # 網路圈
-
2 # 定格往憶
實際上隱藏真實伺服器地址也是阻擋不了ddos,ddos攻擊也是正常請求訪問伺服器,只是訪問量比較大導致系統壓力暴增,嚴重導致宕機,實際生產環境專案部署都會使用nginx等反向代理伺服器做負載均衡,也就是說客戶訪問的是負載均衡伺服器的ip而不是真實的伺服器ip,即nginx隱藏真實伺服器ip。防禦ddos的方法有很多種,常見的有ip限流,例如:監控ip請求訪問量,若訪問暴增超過指定閾值,可限制該IP訪問,拉入訪問黑名單,並進行相關提示,黑名單可按業務設定有效期解禁。限制措施還可以是驗證碼。例如訪問量比較大的介面可透過簡訊,圖形驗證碼等形式格擋,可減少介面的併發訪問量,最常見的例如12306的變態驗證碼,可緩解登入、提交訂單相關介面的訪問壓力
-
3 # 香港IDC
現在這個網際網路環境很難保證自己不會被DDOS攻擊,為了保證伺服器的正常穩定執行,隱藏伺服器真實IP是個不錯的方法,這可以讓攻擊者找不到攻擊目標,從而有效地保護網站的安全。現在天下資料IDC就給大家分享一下如何透過隱藏伺服器真實IP來防禦DDOS攻擊? 1、使用高防IP服務高防IP服務的原理:透過利用兩臺高硬防的單線伺服器作為埠對映到雙線伺服器的兩個IP,將虛設的IP對映在真實IP的主機上,這樣就能夠首先避免被直接威脅的絕對目標,這樣也讓攻擊者無法正確的找到雙線伺服器的真實IP,並且單線的硬防也更高。簡單的說就是把真實IP隱蔽,將虛設IP對映到真實IP上,這樣對DDoS的威脅進行絕對的防禦。進行虛設IP對映的處理,是沒有遠端登陸的許可權。 2、使用CDN技術簡單的來說,內容釋出網(CDN)是一個經策略性部署的整體系統,其包括四個重要部分,分別是分散式儲存、負載均衡、網路請求的重定向和內容管理。其中內容管理和全域性的網路流量管理是CDN技術的核心所在。透過對使用者的就近性以及伺服器負載的判斷,CDN能夠保障內容是以一種極為高效的形式為使用者提供服務。使用CDN技術隱藏真實IP也是有所不足的,在伺服器上釋出的內容無法及時的進行更新,CDN是存在地區限制的。例如只是做了國內的CDN,而沒有做海外的CDN,這樣攻擊者使用美國伺服器的IP,在使用ICMP工具ping 的域名或其它地址那麼你的伺服器真實IP真實就出現在攻擊者面前了。 3、使用域名導向
該技術是相對較新的,與其他的方法都是有相同點的。其與URL的隱藏轉發是有相同點的(但url隱性轉發已經被國家禁止了);和CDN技術的相同點就是將伺服器的IP進行隱藏等。另外,為了防止伺服器的IP被傳送資訊洩露,還可以選擇不使用伺服器傳送郵件的功能,若必須要進行郵件傳送,可以選擇使用第三方的代理傳送,這樣對外顯示的IP也就是代理的IP,不是伺服器的IP就不會出現洩露。
-
4 # 鴆鴆銪鷀
web叢集部署(提升網站的可用性和訪問量)負載均衡2臺最少(做應用和鏈路負載)CDN加速(加速使用者訪問,抵禦小規模攻擊)waf安全裝置zabbix等軟體監控伺服器,網路,應用狀態。(觸發器指令碼使故障自愈)日誌採集分析工具,實時檢視惡意訪問來源。
能安排上的通通安排上,做好規範和管理制度。做到可用性99.99%還是沒啥問題的!如果發生不可抗因素的話,就沒啥辦法了一定要做災備。
-
5 # 03特快綜合資源分享
當然是用cdn了,當然要用靠譜的,再分享一個技巧,本地除錯好需要上線時,先把CDN準備好,直接解析到CDN,這樣可以避免暴露源IP,遭到追溯解析記錄。至於DDOS或CC攻擊,就需要專業的抗DDOS的企業,如果是備案域名用百度或360的就可以。免費的。未備案域名首選就是CF了。Cloudflare功能強大,支援證書,唯一就是不支援泛域名解析。再有就是直接選擇OVH的主機,號稱不死高防。前段時間黑五和雙十一優惠力度都很大。最優惠的美國節點機器,一個月不到3刀。
回覆列表
我們知道,伺服器對外提供服務,基本上都是放置在公網上的。所以說伺服器放置在公網上會面臨很多攻擊,如果不做好必要的防護措施,伺服器被人攻擊只是時間上的問題。
而我們面臨的眾多攻擊中,DDoS攻擊是最常見同時也是影響較大的攻擊。DDoS是分散式拒絕服務攻擊,發起攻擊者會將很多臺電腦聯在一起對同一臺伺服器進行請求。因為每一臺伺服器其實都是有資源、寬頻和計算上的瓶頸的,特別是一些頻寬小、記憶體小、CPU計算能力低的伺服器在面臨較多請求時,伺服器負載瞬間上漲、頻寬被佔滿,導致其它伺服器無法處理其它合法使用者的正常請求。
從本質上說,DDoS帶來的請求也是正常請求,所以DDoS防護較難。但是,如果我們把伺服器的真實IP隱藏起來,那可以很大程度減小DDoS攻擊的可能。
有哪些手段可以隱藏伺服器真實的IP呢,我覺得主要有以下幾種方案:
1、禁用伺服器ICMP回顯響應
網際網路上的伺服器眾多,一般情況下我們在公網上的伺服器被人發現是要一段時間的,攻擊者會透過IP段來掃描存活的機器,一旦掃描到某個IP時有回顯,說明此IP是存活的,就會被攻擊者記錄下來,所以我們要關閉回顯功能,這樣別人掃描時伺服器沒有響應,可以避免被人發現。
不管是Windows Server還是Linux都可以透過防火牆來關閉ICMP回顯功能。
* Windows Server 操作方法:
控制面板 》檢視方式“大圖示”》Windows 防火牆 》左側“高階設定”》入站規則 》找到“檔案和印表機共享(回顯請求-ICMPv4-In)”和“檔案和印表機共享(回顯請求-ICMPv6-In)”雙擊,然後選中“已啟用”和“阻止連線”,如下圖示:
* Linux伺服器操作方法:
# vi /etc/sysconfig/iptables
新增幾條規則,如下圖示:
2、利用CDN隱藏源站真實IP
CDN本來是內容分發用的,主要用來做資源加速的,但是CDN本身上也算是一種代理伺服器,所以可以隱藏源站的IP。另外CDN節點都帶有一定的防護功能,所以DDoS攻擊時,CDN可以幫我們分擔很多的流量,這樣對於源站影響就較小了。
3、使用高防IP