精华内容
下载资源
问答
  • 8月25日晚,锤子“坚果手机”发布会因故推迟、PPT一堆错漏、抢红包故障,据悉是因锤子官网服务器遭遇了数十G流量DDoS恶意攻击,现场PPT也是临时赶制、边写边用,好端端的一场发布会被DDoS攻击搞的狼狈不堪。...

    8月25日晚,锤子“坚果手机”发布会因故推迟、PPT一堆错漏、抢红包故障,据悉是因锤子官网服务器遭遇了数十G流量DDoS恶意攻击,现场PPT也是临时赶制、边写边用,好端端的一场发布会被DDoS攻击搞的狼狈不堪。

    DDoS攻击的危害很大,而且很难防范,可以直接导致网站宕机、服务器瘫痪,造成权威受损、品牌蒙羞、财产流失等巨大损失,严重威胁着中国互联网信息安全的发展。

     图:DDoS攻击示意图

    随着DDOS攻击在互联网上的肆虐泛滥,使得DDoS的防范工作变得更加困难。数据显示,今年Q2,DDoS攻击活动创下新纪录,同比增长了132%。其中,最大规模的DDoS攻击峰值流量超过了240 Gbps,持续了13个小时以上。目前而言,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的成本如此之低,而且攻击了也没人管,那么,广大的网站用户应该采取怎样的措施进行有效的防御呢?下面我就介绍一下防御DDoS的基本方法。

    1、保证服务器系统的安全

    首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。

    2、隐藏服务器真实IP

    服务器前端加CDN中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。

    另外,防止服务器对外传送信息泄漏IP,最常见的是,服务器不使用发送邮件功能,如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP。

    总之,只要服务器的真实IP不泄露,10G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。


    作者:佚名


    来源:51CTO


    展开全文
  • 服务器如何防止DDOS

    2019-01-08 05:20:33
    服务器如何防止DDOS 前面说到DSServer的OnConnect是socket已经完全搭好client都调用connect的服务器方法了才触发的,如果我们到这里才来想起拒绝不合法的ip连接,已经挺晚了:socket已经连接好了,都已经创建线程...

    服务器端如何防止DDOS
    前面说到DSServer的OnConnect是socket已经完全搭好client都调用connect的服务器方法了才触发的,如果我们到这里才来想起拒绝不合法的ip连接,已经挺晚了:socket已经连接好了,都已经创建线程开始通讯了。

    怎么做才能在最开始的socket握手里,就让捣蛋鬼死在萌芽中呢。

    要解决这个问题,当然得从TDSTCPServerTransport下手,因为ServerTransport才是真正负责通讯的,可以在它的OnConnect事件下手

     procedure TServerContainer1.DSTCPServerTransport1Connect(   Event: TDSTCPConnectEventObject);

    var  conn: TIdTCPConnection;

    begin 

    conn := Event.Connection as TIdTCPConnection;  

    LogInfo('From ' + conn.Socket.Binding.PeerIP + '(' + IntToStr(conn.Socket.Binding.PeerPort) + ')');

     end;

    在这里,就能得到连接上来的IP了,在blacklist里的ip,就可以直接  conn.Disconnect。当然,由于indy的架构,线程也是已经创建了的,要真正解决DDOS,下回再重述一下Indy架构来看看如何下手。

    展开全文
  • DDOS、CC攻击是最常见、最简单也是最...在互联网时代,网络安全是非常重要的一个问题,不论是个人电脑还是服务器都面临这个情况,那么服务器如何防止DDOS跟CC攻击呢?速维IDC-李文 tel:180 28236627 关于DDOS攻击 1、
  • 上周知名博主阮一峰的博客被DDOS攻击,导致网站无法访问而被迫迁移服务器的事情,引起了广大网友的关注及愤慨,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受。所以,本文我们一起来了解下DDOS攻击并...

    上周知名博主阮一峰的博客被DDOS攻击,导致网站无法访问而被迫迁移服务器的事情,引起了广大网友的关注及愤慨,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受。所以,本文我们一起来了解下DDOS攻击并分享一些在一定程度范围内的应对方案。

    关于DDOS攻击

    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

    通常,攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上,代理程序收到指令时就发动攻击。

    (DDOS攻击示意图)

    随着网络技术发展,DDOS攻击也在不断进化,攻击成本越来越低,而攻击力度却成倍加大,使得DDOS更加难以防范。比如反射型DDoS攻击就是相对高阶的攻击方式。攻击者并不直接攻击目标服务IP,而是通过伪造被攻击者的IP向全球特殊的服务器发请求报文,这些特殊的服务器会将数倍于请求报文的数据包发送到那个被攻击的IP(目标服务IP)。

    DDOS攻击让人望而生畏,它可以直接导致网站宕机、服务器瘫痪,对网站乃至企业造成严重损失。而且DDOS很难防范,可以说目前没有根治之法,只能尽量提升自身“抗压能力”来缓解攻击,比如购买高防服务。

    DDoS攻击简介

    分布式拒绝服务攻击(DDoS攻击)是一种针对目标系统的恶意网络攻击行为,DDoS攻击经常会导致被攻击者的业务无法正常访问,也就是所谓的拒绝服务。

    常见的DDoS攻击包括以下几类:

    • 网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:NTP Flood攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。

    • 传输层攻击:比较典型的攻击类型包括SYN Flood攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。

    • 会话层攻击:比较典型的攻击类型是SSL连接攻击,这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。

    • 应用层攻击:比较典型的攻击类型包括DNS flood攻击、HTTP flood攻击、游戏假人攻击等,这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。

    DDoS攻击缓解最佳实践

    建议阿里云用户从以下几个方面着手缓解DDoS攻击的威胁:

    1. 缩小暴露面,隔离资源和不相关的业务,降低被攻击的风险。

    2. 优化业务架构,利用公共云的特性设计弹性伸缩和灾备切换的系统。

    3. 服务器安全加固,提升服务器自身的连接数等性能。

    4. 做好业务监控和应急响应。

    DDOS攻击应对策略

    这里我们分享一些在一定程度范围内,能够应对缓解DDOS攻击的策略方法,以供大家借鉴。

    1.定期检查服务器漏洞

    定期检查服务器软件安全漏洞,是确保服务器安全的最基本措施。无论是操作系统(Windows或linux),还是网站常用应用软件(mysql、Apache、nginx、FTP等),服务器运维人员要特别关注这些软件的最新漏洞动态,出现高危漏洞要及时打补丁修补。

    2.隐藏服务器真实IP

    通过CDN节点中转加速服务,可以有效的隐藏网站服务器的真实IP地址。CDN服务根据网站具体情况进行选择,对于普通的中小企业站点或个人站点可以先使用免费的CDN服务,比如百度云加速、七牛CDN等,待网站流量提升了,需求高了之后,再考虑付费的CDN服务。

    其次,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。

    3.关闭不必要的服务或端口

    这也是服务器运维人员最常用的做法。在服务器防火墙中,只开启使用的端口,比如网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不必要的服务或端口,在路由器上过滤假IP。

    4.购买高防提高承受能力

    该措施是通过购买高防的盾机,提高服务器的带宽等资源,来提升自身的承受攻击能力。一些知名IDC服务商都有相应的服务提供,比如阿里云、腾讯云等。但该方案成本预算较高,对于普通中小企业甚至个人站长并不合适,且不被攻击时造成服务器资源闲置,所以这里不过多阐述。

    5.限制SYN/ICMP流量

    用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。

    6.网站请求IP过滤

    除了服务器之外,网站程序本身安全性能也需要提升。以小编自己的个人博客为例,使用cms做的。系统安全机制里的过滤功能,通过限制单位时间内的POST请求、404页面等访问操作,来过滤掉次数过多的异常行为。虽然这对DDOS攻击没有明显的改善效果,但也在一定程度上减轻小带宽的恶意攻击。

    2.3 部署DNS智能解析

    通过智能解析的方式优化DNS解析,可以有效避免DNS流量攻击产生的风险。同时,建议您将业务托管至多家DNS服务商。

    • 屏蔽未经请求发送的DNS响应信息
    • 丢弃快速重传数据包
    • 启用TTL
    • 丢弃未知来源的DNS查询请求和响应数据
    • 丢弃未经请求或突发的DNS请求
    • 启动DNS客户端验证
    • 对响应信息进行缓存处理
    • 使用ACL的权限
    • 利用ACL,BCP38及IP信誉功能

    2.4 提供余量带宽

    通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

    3. 服务安全加固

    对服务器上的操作系统、软件服务进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:

    • 确保服务器的系统文件是最新的版本,并及时更新系统补丁。
    • 对所有服务器主机进行检查,清楚访问者的来源。
    • 过滤不必要的服务和端口。例如,对于WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上设置阻止策略。
    • 限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。
    • 仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
    • 限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能将会陷入瘫痪。
    • 充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阀值、禁用ICMP和UDP广播的策略配置。
    • 通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。

    4. 业务监控和应急响应

    4.1 关注基础DDoS防护监控

    当您的业务遭受DDoS攻击时,基础DDoS默认会通过短信和邮件方式发出告警信息,针对大流量攻击基础DDoS防护也支持电话报警,建议您在接受到告警的第一时间进行应急处理。

    5.1 Web应用防火墙(WAF)

    针对网站类应用,例如常见的http Flood(CC攻击)攻击,可以使用WAF可以提供针对连接层攻击、会话层攻击和应用层攻击进行有效防御。

    5.2 DDoS防护包

    5.3 DDoS高级防护

    针对大流量DDoS攻击,建议使用阿里云高防IP服务。

    应当避免的事项

    DDoS攻击是业内公认的行业公敌,DDoS攻击不仅影响被攻击者,同时也会对服务商网络的稳定性造成影响,从而对处于同一网络下的其他用户业务也会造成损失。

    计算机网络是一个共享环境,需要多方共同维护稳定,部分行为可能会给整体网络和其他租户的网络带来影响,需要您注意:

    • 避免使用阿里云产品机制搭建DDoS防护平台
    • 避免释放处于黑洞状态的实例
    • 避免为处于黑洞状态的服务器连续更换、解绑、增加SLB IP、弹性公网IP、NAT网关等IP类产品
    • 避免通过搭建IP池进行防御,避免通过分摊攻击流量到大量IP上进行防御
    • 避免利用阿里云非网络安全防御产品(包括但不限于CDN、OSS),前置自身有攻击的业务
    • 避免使用多个账号的方式绕过上述规则

    小结

    目前而言,DDOS攻击并没有最好的根治之法,做不到彻底防御,只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障,并借鉴本文分享的方案,将DDOS攻击带来的损失尽量降低到最小。

    展开全文
  • 通常,在复杂的第7层攻击期间,DDOS缓解中容易出现误报,这些DDoS攻击是通过定位服务器上的应用程序来模仿真实人类行为的DDOS攻击类型。因此,在阻止攻击流量的同时保护合法访客正常访问,变得困难。 一、DDoS防御的...

    在这里插入图片描述
    DDoS防御中的误报是每个DDoS保护提供商都必须密切关注的,并且企业了解这个术语的含义符合您的最佳利益。在误报期间发生的事情,是合法访问者触发保护系统,并且被当作攻击流量的一部分,阻止其访问。这样,您不仅可能会失去业务,而且如果您当前的客户无法访问您的网站,您无疑会遇到一些支持问题。

    通常,在复杂的第7层攻击期间,DDOS缓解中容易出现误报,这些DDoS攻击是通过定位服务器上的应用程序来模仿真实人类行为的DDOS攻击类型。因此,在阻止攻击流量的同时保护合法访客正常访问,变得困难。

    一、DDoS防御的挑战

    分布式拒绝服务(DDoS)攻击通常包含针对应用程序或服务器的大量流量。在这些请求中,仍有合法用户尝试访问该站点。DDOS缓解提供商面临的最严峻挑战之一是确定哪些流量合法,然后使用适当的策略来阻止攻击。

    在减轻复杂攻击时,有两种结果会导致更多麻烦:当正常访客被当作攻击拦截,或者攻击流量被当作正常访问允许通过。DDoS防御的挑战在于区分两者。

    二、如何在DDoS防御中避免误报

    有一些过时的停止DDoS攻击的方法可以证明在减轻更复杂的攻击方面效果不佳。其中一种方法是速率限制。速率限制涉及一个静态阈值,一旦攻击流量到达触发器就会启动。这对于某些攻击很有效,但大多数情况下,这种形式或保护对于检测攻击的速度很慢,并且会降低所有站点访问者的用户体验。这种形式的DDOS保护的一个缺点是,因为它依赖于预定义的阈值,所以流量的任何急剧增加都可能导致系统阻塞访问者,包括营销活动引来的流量峰值。

    显然,您需要一种更具选择性的自动化DDOS保护 和防御方法。

    三、行为分析是对抗DDOS的更好方法

    行为分析,最简单的形式是从您的站点获取历史(基线)数据,并使用它来比较可能是网络攻击的流量突发。我们以五九盾杭州高防服务器为例进行说明。高防服务器在对攻击流量过滤清洗之前,会通过攻击智能检测平台来精准识别各类DDoS攻击。平台将通过基线特征分析,分析您的流量并标记任何异常情况以供进一步审核,将其传递给另一个触发响应进行验证,提醒DDOS防御专家更密切地调查流量模式。经过精准识别后,高防服务器流量再经由清洗中心过滤攻击流量,并将正常流量返注回您的网站或应用,保障其始终快速稳定运作。

    展开全文
  • DDoS攻击是分布式拒绝服务攻击的简称,是一种网络攻击,它使用受攻击的计算机和设备从WordPress 服务器发送或请求数据。这些请求的目的是减慢并最终使目标服务器崩溃。 DDoS 攻击是 DoS(拒绝服务)攻击的一种演变...
  • 大多数网站都是使用使用Apache的httpd服务作为服务端的,可以在apache中加载mod_evasive模块来防止DDOS攻击。本文将介绍如何在apche中配置mod_evasive模块。 1.mod_evasive 介绍 mod_evasive 是Apache(httpd)...
  • php如何防止恶意DDoS攻击:我们知道拒绝服务攻击,即DDOS攻击会导致带宽被占用,让正常用户无法访问网站。“居安思危”是十分有必要的,我们需要积累一些相关防御DDoS的知识。 DDoS分布拒绝攻击,简略的来说DDoS主要...
  • 防止DDOS攻击

    2017-02-16 14:08:00
    如何正确的防止DDOS攻击: 第一种方案,隐藏服务器外网地址,服务器前端加CDN中转,免费的有百度云加速、360网站卫士、加速乐、安全宝等,如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名...
  • 1、什么是DDoS攻击 全称Distributed Denial of Service,中文意思为“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。通俗点讲就是利用网络节点资源如:IDC...
  • 为了防止服务器被恶意攻击给网站带来一些不好的影响,站长可以在平时多查看一下服务器是否被DDoS攻击了。那么站长们和企业用户要怎样查看服务器是否被DDoS攻击了呢?鼎峰华妹建议大家可以从以下几点查看:...
  • 随着互联网带宽的增加和相关工具的不断发布,这种攻击的实施难度越来越低,有大量IDC托管机房、商业站点、游戏服务商一直饱受DDoS攻击的困扰,那么如何缓解甚至解决DDoS呢?最近Rick Nelson在Nginx的官方博客上发表...
  • 现在小编给大家讲述一下:怎么选择抗DDOS服务器? 首要挑选一个供给高防抗攻击的机房租借服务器。国内idc服务商一般都会有防火墙防护,我们今日把防火墙状况分为两种(1)集群防护,单线机房防护一般在:10G-32G的...
  • 防止DDOS***

    2011-10-31 19:28:01
    如何防范拒绝服务***一直是服务器管理员研究的一个课题,尤其是使用VPS(虚拟服务器)的管理员.由于是在虚拟的环境下,既不好要求服务商增加硬件防火墙,又因为本身虚拟的架构导致了一些内核模块(如:connlimit)无法安装....
  • 随着ddos攻击的成本越来越低,导致其越来常见。寻找有效的ddos防御方法是每个网站...1、保证服务器系统的安全,确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用自信系统,并打上安全补丁。在服务器上删...
  • 如何用varnish缓存或其他手段防止不友好人群模拟不同ip同时访问网站》, 问题的来源是一个无效的请求的导致drupal进程特别消耗服务器资源,导致cpu超高。由于近期也在研究iptable的ddos策略,所以就研究了一下,...
  • 据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection ...DDoS攻击分为两种:要么大数据,大流量来压垮网络设备和服务器,.
  • 随着互联网的飞速发展,网站越来越多,服务器...首先,在选择服务器时,建议选择高防御服务器,因为它可以防止攻击;我们介绍服务器如何受到攻击的: 数据库已经被破坏,许多网站上的内容非常有价值,这也吸引了一
  • 企业服务器DDOS攻略

    2010-04-28 22:10:32
    企业在网络中不仅要面对病毒***的袭击,还要面临网络中各种各样的***。其中危害最大的莫过于DDOS***,对于此类***很多企业是束手无策,有的只依赖于硬件防DDOS防火墙来抵挡...知已知彼方能百战百胜,在谈如何防止...
  • 想象一下有人使用不同的电话号码一遍又一遍地打电话给你,而你也无法将他们列入黑名单。最终你可能会选择关闭手机,从而避免骚扰。...在本文中,我们将讨论如何防止DDoS攻击,并将介绍一些特定的DDoS保护和预
  • 如何有效地防御ddos

    2018-04-09 17:31:29
    随着DDoS攻击的成本越来越低,导致其越来越常见。寻找有效的ddos防御方法是现在每个网站...1、保证服务器系统的安全首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在...
  • 但随着新品牌的普及,电脑如何增加ddos防御,安全性问题也随之上升。CDN高防顺势而生,且自2015年问世以来便迅速占领市场,今天我们就一起来分析分析它的应用场景及其优势。 频繁受到网络攻击问题的网站DdoS、CC等...
  • 使用DDoS脚本防止DDoS使用DDoS脚本防止DDoS:DDoS概述:分布式拒绝服务(DDoS:Distributed Denial of Service),指借助于客户/服务器技术,将多个计算机联合起来作为attack平台,对一个或多个目标发动DDoS,从而成倍...
  • 使用DDoS脚本防止DDoS攻击 使用DDoS脚本防止DDoS攻击: DDoS概述: 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标...

空空如也

空空如也

1 2 3
收藏数 60
精华内容 24
关键字:

服务器如何防止ddos