本文目录
用防火墙可以防御DDoS吗
相信不少站长或多或少都经历过DDoS攻击(DDoS攻击是通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的),一旦你的网站被人DDoS攻击后,网站就会无法被访问了,严重时服务器都能卡死。
如果网站遇到DDoS攻击时,该如何解决呢?相信大家都知道,要靠防火墙(防火墙是位于内网和外网之间的屏障隔离技术)来处理一部分攻击流量。 这是不是就说明防火墙可以防御DDoS呢?其实没有这么简单。
首先我要说的是,不是有所防火墙都可以有效抵御DDoS攻击。DDoS攻击和其它攻击不同,它本身也算是一种合法的网络请求!
防火墙种类很多,主要有:软件防火墙(软防)、硬件防火墙。这两类防火墙在对待DDoS时的表现也不同。
1、软件防火墙(软防)
我们一般用户都接触过软件防火墙,像Windows上的“防火墙”、Linux上的“iptables”等。它们以软件的形式时刻检查系统上的所有数据包,然后决定放行哪些数据包或者拦截哪些数据包。
软防在应对小流量DDoS时,可以搞得住。但一旦遇到大流量的DDoS,软防是抗不住的,可以把系统资源消耗尽,服务器直接卡死。
从成本上说,软防成本很低。
2、硬件防火墙(硬防)
和防软不同,硬防是把防火墙程序做到硬件芯片中,由单独的硬件执行防护功能,减少了CPU的负担,性能上比软防高出很多,当然了,成本也比软防高得多。
综上,不管是软防还是硬防,其原理上都差不多;但是软防是基于系统的,硬防是基于硬件的。在面对稍大的DDoS时,软防基本上是无能为力的,而硬防也不是能抗得住所有的DDoS,不同配置的硬防能承受的DDoS流量不同。假设硬防只能抗住1G的流量,而你的网站受到了2G的DDoS流量,硬防也是白搭!-ddos防火墙
最后,结合我近10年的从业经验,将一些经验分享给大家,尽可能减少网站被DDoS的可能,主要措施有:
禁用服务器的ICMP响应,这样别人无法通过Ping来判断你的服务器IP是否存活;
网站启用CDN来隐藏后端服务器的真实IP,CDN本身也带有一定的抗洪能力;
一旦受到DDoS时,将域名解析至 127.0.0.1 ,你懂的 ~
我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!如果大家有不同看法,欢迎在下方评论区发表自己的观点 ~
Linux服务器被DDOS或CC攻击时如何封禁攻击者IP
ddos和cc的时候光服务器上面去做IP限制还不如换IP,前者效果几乎为零,后者可以扛一会,除非新换IP不被攻击方发现。
还有就是如果要防,只能靠运营商在他们的设备上去做,靠自己服务器上的去防没大用。
中小企业遭遇DDOS该如何缓解呢
这个问题得分两个场景来看,即中小企业到底是使用公有云,还是使用私有云(或者自建服务器),不同的场景解决方案不一样
首先解释一下什么叫做DDOS。DDOS又叫做分布式拒绝服务攻击,简单的解释一下就是互联网有很多肉鸡同时向你的服务器发动攻击,消耗服务器的有限资源,所以拒绝服务攻击实际上是对你服务器的资源的一个消耗性攻击-可以
举一个典型的例子,就是最常见的基于TCP的拒绝服务攻击。
假设你公司的服务器对外提供WEB服务,WEB是基于80端口的TCP服务,而一台服务器所支持的TCP的连接性能是有限的,例如可以同时支持10万个TCP连接
这时,攻击者从互联网控制1000台主机,每台主机向你发起100个TCP的80端口连接请求,然后不再响应服务器的回应,这时就会出现一个很奇怪的状态:你们公司服务器的10万个连接都被用了,但是这些都是没有后继过程的虚假连接。此时其他正常用户想看你们公司的网页,就会发现看不了,因为没有TCP资源了,这个就是拒绝服务攻击-ddos防火墙
因此从原理上看其实比较明显,要挡住拒绝服务攻击,就要挡住这种虚假的情求和连接。例如采取1个IP只能有2个连接的限制,或者加快删除这种虚假的连接,或者对TCP过程进行序列号校验。这种能够挡住对端攻击的设备,叫做防火墙-可以
如果你使用公有云,那么你可用选择公有云上的服务,例如阿里云上就提供了对云服务器的安全保护功能。如果使用阿里云,你可用先评估你网站的安全风险,进行漏洞测试,然后你可用购买云防火墙来保护你的网站
阿里云还支持高防IP清洗,这个道理也不难,实际上就是把你的流量先引到专业的DDOS清理集群,把你的网站流量先清洗一遍,把攻击的流量识别并删除后,再送回你真实的服务器,这样就保证服务器被攻击前,攻击流量已经洗掉了-ddos防火墙
如果是企业自建的私有云或者仅仅是企业的单独的服务器需要保护,那就得买专门的Anti-DDoS防火墙。目前华为、山石、迈普、H3C都有这种防火墙设备,性能从百兆到万兆都有,价格也不贵。防止DDOS攻击是很成熟的技术,所有防火墙的标配-可以
服务器经常被ddos攻击怎么办
1.如果是云服务器,可买ddos防御服务,价钱很贵。
2.如果是idc机房,一般机房都提供硬防。
3.购买CDN服务放在前面。
4.在自己的服务器端也可以做一些配置,比如在nginx服务器上做基于ip的频次限限制,也能起到一些作用。
大型数据中心如何进行DDoS防御
谈及DDoS防御,先来说明下什么是DDoS攻击。
简单来说,就是攻击者借助于公网,将数量极其庞大的计算机设备集合起来作为攻击平台,对一个或者多个目标发起攻击,以达到瘫痪目标服务器的目的。
了解了DDoS的原理,那么就来浅谈下如何防御(本人不是专业应对网络攻击的人员,只是从事it行业,平时碰到过一次近似ddos的场景,所以只能说“浅谈”一下,笔者写过一篇关于ddos的文章,里面涉及了ddos的常见攻击方式,想要了解的可以去翻阅,这里不再详谈),下面进入正题。-ddos防火墙
1、经济条件允许的情况下,首选高性能网络服务器及专业防御平台,毕竟是专业性质的应对方案,比起我们自行考虑要安全、周全的多,当然毋庸置疑,价格肯定很昂贵了,中小型企业估计要望而却步;
2、别人攻击你的服务器,必然需要知道你的ip、dns之类的信息,比如,我们既然对外暴露自己的网站,那么可以尝试隐藏自身服务器的ip和变更dns,现在市面上还是有诸如百度、360之类的专业做安全防御的公司,他们会提供一些产品以达到上诉目的,当然,比起第一个方案确实要经济很多,也有一定呢防御效果;-可以
3、我们自身可以做的事,比如监控到某些个异常ip一直高频访问,那么直接进行黑名单控制举行拒绝流量,同时我们的网站尽量静态化,越少的后端请求,被攻击的概率也就越低了;
4、另外,还看到过专业公司的一些解决方案,比如采用旁路部署等等,也有将防御提升到运营商层面的,在上游进行处理。
总而言之,我们既然处在互联网大环境下,就不可避免的可能会收到攻击威胁,网络中没有绝对的安全,只有尽可能的更安全,我们要做的是了解攻击者的原理和手段,从而采取相应的有效的措施,这才是上上之选。
