服务器ddos防御的五大段位,你是青铜还是王者?
服务器ddos防御是一项很让所有站长玩家头疼欲裂的深渊,服务器ddos防御不是防一种攻击,而是一大类攻击,你可能要面临几十种类型的攻击模式,新型攻击还在进化。而且网站运行的各个环节,都可以是攻击目标。只
服务器ddos防御是一项很让所有站长玩家头疼欲裂的深渊,服务器ddos防御不是防一种攻击,而是一大类攻击,你可能要面临几十种类型的攻击模式,新型攻击还在进化。而且网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
ddos防御。最常见的流量攻击是大量正常的请求,超出服务器的最大承受量,导致网站服务器宕机。可能你的网站平时一天四五百个IP,突然有一天,用户请求像洪水一样涌来,几百个不同的IP同时访问,几分钟的时间,日志文件的体积就大了100MB。说实话,小到几个G大到几十个G的流量,这种情况下如何做好服务器ddos防御,cdn防护和高防服务器哪个更适合网站?
服务器防御ddos的五个段位:
1、青铜段位:做好网站备份
对于任何突发事件多有退路,防范 服务器DDOS防御更重要,就是你要有一个备份网站,或者最低限度有一个临时主页。万一服务器被打死了,攻击结束后可以切换到备份网站,毕竟任何攻击多不可能是永远的,ddos攻击成本也非常高。
备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修。我的个人网站下线的时候,我就做了一个临时主页,很简单的几行 HTML 代码。这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。
2、白银段位:网络节点配置防火墙
我们使用的网络设备包含了路由器、防火墙以及负载均衡等设备,它们实际可以将网络保护起来,最大限度的降低DDoS攻击,以此达到防御的目的。而且我们使用的防火墙本身是可以防御DDoS攻击的。我们在配置策略的时候,可以将出现的攻击,通过防火墙技术引向部分作为牺牲的主机,来保护我们使用的服务器不受到攻击。
3、黄金段位:拦截限制流量、过滤地址
HTTP 请求的拦截,如果恶意请求有特征,对付起来很简单:直接拦截它就行了。HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。
拦截可以在三个层次
(1)专用硬件:Web 服务器的前面可以架设硬件防火墙,专门过滤请求。这种效果最好,但是价格也最贵。
(2)本机防火墙:操作系统都带有软件防火墙,Linux 服务器一般使用 iptables。比如,拦截 IP 地址1.2.3.4的请求,可以执行下面的命令。
$ iptables -A INPUT -s 1.2.3.4 -j DROP
iptables 比较复杂,我也不太会用。它对服务器性能有一定影响,也防不住大型攻击。
(3)、Web 服务器,Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4,nginx 的写法如下。
location / {
deny 1.2.3.4;
}
Apache 的写法是在.htaccess文件里面,加上下面一段。
Require all granted
Require not ip 1.2.3.4
如果想要更精确的控制(比如自动识别并拦截那些频繁请求的 IP 地址),就要用到 WAF。这里就不详细介绍了,nginx 这方面的设置可以参考这里和这里。Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。
4、白金段位:关闭端口、定期扫描
我们需要定期对服务器使用的网络节点进行扫描,检查存在的安全漏洞,并及时对漏洞进行处理。另外,我们需要关闭掉服务器上不常使用的端口,降低被网络攻击的几率。目前这类方法是普遍采用的方式。
5、砖石段位:利用网络设备资源抵御攻击
①、增加服务器带宽: DDOS 攻击是没有特征的,它的请求看上去跟正常请求一样,而且来自不同的 IP 地址,所以没法拦截。这就是为什么 DDOS 特别难防的原因。当然,这样的 DDOS 攻击的成本不低,普通的网站不会有这种待遇。不过,真要遇到了该怎么办呢,有没有根本性的防范方法呢?
答案很简单,就是设法把这些请求都消化掉。对于网站来说,就是在短时间内急剧扩容,提供几倍或几十倍
