月色寄相思409
既然你已經被黑客知道了真實的ip,那麼建議你立刻更換服務器,或者說準備多臺服務器隨時用於更換。
如果按正常的方法應對,消耗幾千幾萬都是少的,可以得有一些取巧的辦法。
然後對於低成本的應對方法,我給出幾個建議。
1.掛cdn隱藏IP,在換成新的ip後,請務必掛cdn對真實的ip進行隱藏,這樣無論怎樣被攻擊,cdn都可以為你進行抵禦。並且,cdn還可以不止套一層,可以多層一起嵌套,網絡上免費的也不少。
2.準備多個服務器做反向代理(配置可以不高,能運行nginx就行,最好是那種空路由時間短的),每個反向代理服務器都指向主服務器節點,都綁定一個二級域名,都掛上不同的cdn。主域名可以隨時解析到任意一個反向代理服務器,並且可以掛免費的雲監控來實時知曉狀態,一個節點死了改解析就行。
3.在防火牆層面禁止所有的國外ip(這是大部分肉雞主要來源),可以很好的降低攻擊流量。
以上是比較簡單,低成本的方法,如果錢多的話,建議購買高防IP,和高防cdn共同防禦。
極端吐槽
DDOS攻擊全稱分佈式拒絕服務(Distributed Denial of Service)攻擊指藉助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
通常,攻擊者將攻擊程序通過代理程序安裝在網絡上的各個“肉雞”上,代理程序收到指令時就發動攻擊。
隨著網絡技術發展,DDOS攻擊也在不斷進化,攻擊成本越來越低,而攻擊力度卻成倍加大,使得DDOS更加難以防範。
一般來說,會根據不同的協議類型和攻擊模式,將DDOS分為SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC等攻擊類型。
每種類型的攻擊都有其自身的特點,例如反射型DDoS攻擊就是一種相對高階的攻擊方式。攻擊者並不直接攻擊目標服務IP,而是通過偽造被攻擊者的IP向全球特殊的服務器發請求報文,這些特殊的服務器會將數倍於請求報文的數據包發送到那個被攻擊的IP。DDoS攻擊是間接形成的。實際上,攻擊者使用更多的木偶機器進行攻擊。他們不直接將攻擊包發送給受害者,而是假裝是受害者,然後將包發送給放大器,放大器隨後通過放大器反射回受害者。
DDOS攻擊讓人望而生畏,它可以直接導致網站宕機、服務器癱瘓,對網站乃至企業造成嚴重損失。而且DDOS很難防範,可以說目前沒有根治之法,只能儘量提升自身“抗壓能力”來緩解攻擊,比如購買高防服務。
一.網絡設備設施
用足夠的機器、容量去承受攻擊,充分利用網絡設備保護網絡資源是一種較為理想的應對策略,說到底攻防也是雙方資源的比拼。
實際上,攻擊者會不斷訪問用戶、奪取用戶資源,我們自己的能量也在逐漸耗失。如果完全的硬拼設施,投入資金也不小。
網絡設施是一切防禦的基礎,所以需要根據自身情況做出平衡的選擇。
1. 擴充帶寬硬抗
網絡帶寬直接決定了承受攻擊的能力,國內大部分網站帶寬規模在10M到100M,知名企業帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數量屈指可數。
DDoS攻擊者可以通過控制一些服務器、個人電腦等成為肉雞。如果控制1000臺機器,每臺帶寬為10M,那麼攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊,帶寬瞬間就被佔滿了。
增加帶寬硬防護是理論最優解,只要帶寬大於攻擊流量就不怕了。但帶寬成本也是難以承受之痛,所以很少有人願意花高價買大帶寬做防禦。
2. 使用硬件防火牆
針對DDoS攻擊和黑客入侵而設計的專業級防火牆通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等流量型DDoS攻擊。
如果網站飽受流量攻擊的困擾,可以考慮將網站放到DDoS硬件防火牆機房。但如果網站流量攻擊超出了硬防的防護範圍(如:200G的硬防,但攻擊流量有300G),硬件防火牆同樣抵擋不住。部分硬件防火牆基於包過濾型防火牆修改為主,只在網絡層檢查數據包,若是DDoS攻擊上升到應用層,防禦能力就比較弱了。
除了防火牆,服務器、路由器、交換機等網絡設備的性能也需要跟上,若是設備性能成為瓶頸,即使帶寬充足也無能為力。在有網絡帶寬保證的前提下,應該儘量提升硬件配置。
二、有效的對抗DDOS思維及方案
通過架構佈局、整合資源等方式提高網絡的負載能力來分攤局部過載的流量,通過接入第三方服務識別並攔截惡意流量等對抗效果較好(相對比與提升帶寬和使用硬件防火牆,當然組合效果更佳)。
1. 負載均衡
普通級別服務器處理數據的能力最多隻能答覆每秒數十萬個鏈接請求,網絡處理能力很受限制。負載均衡建立在現有網絡結構之上,它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效。在加上負載均衡方案後,鏈接請求被均衡分配到各個服務器上,減少單個服務器的負擔,整個服務器系統可以處理每秒上千萬甚至更多的服務請求,用戶訪問速度也會加快。
2. CDN流量清洗
CDN是構建在網絡之上的內容分發網絡,依靠部署在各地的邊緣服務器,通過中心平臺的分發、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡技術。相比高防硬件防火牆不可能扛下無限流量的限制,CDN則更加理智,多節點分擔滲透流量,目前大部分的CDN節點都有200G的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的DDoS攻擊了。
3. 分佈式集群防御
分佈式集群防禦的特點是在每個節點服務器配置多個IP地址,並且每個節點能承受不低於10G的DDoS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,並將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
三.預防為主
DDoS的發生可能永遠都無法預知,而一來就兇猛如洪水決堤,因此預防措施和應急預案就顯得尤為重要。通過日常習慣性的運維操作讓系統健壯穩固,沒有漏洞可鑽,降低脆弱服務被攻陷的可能,將攻擊帶來的損失降低到最小。
1. 篩查系統漏洞
及早發現系統存在的攻擊漏洞,及時安裝系統補丁,對重要信息(如系統配置信息)建立和完善備份機制,對一些特權賬號(如管理員賬號)的密碼謹慎設置,通過一系列的舉措可以把攻擊者的可乘之機降低到最小。
2. 系統資源優化
合理優化系統,避免系統資源的浪費,儘可能減少計算機執行少的進程,更改工作模式,刪除不必要的中斷讓機器運行更有效,優化文件位置使數據讀寫更快,空出更多的系統資源供用戶支配,以及減少不必要的系統加載項及自啟動項,提高web服務器的負載能力。
3. 過濾不必要的服務和端口
禁止未用的服務,將開放端口的數量最小化十分重要。端口過濾模塊通過開放或關閉一些端口,允許用戶使用或禁止使用部分服務,對數據包進行過濾,分析端口,判斷是否為允許數據通信的端口,然後做相應的處理。
4. 限制特定的流量
檢查訪問來源並做適當的限制,以防止異常、惡意的流量來襲,限制特定的流量,主動保護網站安全。
目前,DDOS攻擊並沒有最好的根治之法,做不到徹底防禦,只能採取各種手段在一定程度上減緩攻擊傷害。所以平時服務器的運維工作還是要做好基本的保障,並借鑑上述方案,將DDOS攻擊帶來的損失儘量降低到最小。
以上個人淺見,歡迎批評指正。喜歡的可以關注我,謝謝!
認同我的看法的請點個贊再走,再次感謝!
匯聚魔杖
很榮幸能回答這個問題,ddoS的攻擊方式有很多種,最基本的ddoS攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。單一的ddoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項指標不高的性能,它的效果是明顯的來。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不源少。這時候分佈式的拒絕服務攻擊手段(DDoS)就應運而生了。DDoS就是利用更多的傀儡機(肉雞)來發起進攻,以比從前更大的規模來進攻受害者。
當受到DDoS攻擊時,可以選擇用一些防火牆來進行防禦,或者選擇機房進行流量遷移和清洗,這種兩種方法對於小流量攻擊的確有效,而且價格也便宜。但是當攻擊者使用大流量DDoS攻擊時,這兩種方法就完全防禦不住了,這種情況就必須考慮更換更高防護的高防服務器zd了,高防的優勢還是很明顯的,配置簡單,接入方便見效快,對於大流量攻擊也完全不在話下
希望我的回答可以幫助到你。
