精华内容
下载资源
问答
  • ddos攻击是什么,想必这是...比如“CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等”,如今DDOS发展到变得越来越让人害怕,那么该怎么预防ddos攻击呢,今天系统圣地小编就这个问题给大家详细的说一说防ddos攻击教程
     ddos攻击是什么,想必这是很多使用电脑者都不知道又很想知道的一个问题,总感觉ddos攻击是个很厉害的东西,ddos攻击一开始是叫dos攻击—拒絕服務(Denial of Service)攻擊,DDOS只不过是一个概称,其下有各种攻击方式,比如“CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等”,如今DDOS发展到变得越来越让人害怕,那么该怎么预防ddos攻击呢,今天系统圣地小编就这个问题给大家详细的说一说防ddos攻击教程。
    
    DDOS攻击

      ddos攻击是什么

      DDoS英文全称Distributed Denial of Service,中文含义为“分布式拒绝服务”,是一种基于DoS的特殊形式的拒绝服务攻击,主要瞄准例如商业公司、搜索引擎和政府部门等比较大的网站站点或者服务器。DDoS攻击通过多台受控机器向某一指定机器进行攻击,来势迅猛令人难以防备,同时具有较大的破坏性。通俗的说,DDoS攻击就指向一台性能与网络宽带有限的服务器短期发动大量的访问请求,直到服务器或者宽带承受极限,从而导致后期服务器无法正常运行的目的。

      DDOS攻击的原理

      最開始叫DoS攻擊——拒絕服務(Denial of Service)攻擊,基本原理其實就是:你又一臺服務器,我有一臺個人電腦,我就用我的個人電腦想你的服務器發送大量的垃圾信息,擁堵你的網絡,並加大你處理數據的負擔,降低服務器CPU和內存的工作效率。但隨着技術的進步,服務器的性能把普通的個人電腦遠遠的摔在了後面,所以像DoS這樣一對一的攻擊已經起不到任何作用了,於是出現了DDoS攻擊——分佈式拒絕服務(Distributed Denial of Service)攻擊。其實原理還是一樣,只不過變成了多對一,可能是數以萬計的個人電腦去同時使用DoS方式攻擊一臺服務器,致使服務器最終癱瘓。

      关于DDOS攻击的问题汇总

      1、黑客一般都是用工具攻击的吗?

      答:必然是工具~DDoS攻擊的精髓就在於垃圾數據量的龐大,人工手動的攻擊必然不靠譜。一般都是一個或幾個黑客通過掛馬或散播蠕蟲的方式來傳播自己的後門程序,用以控制足夠的個人電腦。再遠程控制這些電腦同時向指定的服務器發起DoS攻擊。

      2、DDos没有有效的防御方法是肯定的。但至少问一下到底有没有减轻这种攻击的软件或工具?

      答:有,軟件也有,硬件也有。主要的方式就是智能化的自動過濾垃圾信息。但效果到底如何,我也沒試驗過,不敢妄下結論。

      3、DDos攻击会导致电脑蓝屏吗?

      答:首先,所謂藍屏其實是Windows的概念,其他操作系統沒有這個概念。其次,藍屏是Windows系統在內核發生不可修復的錯誤時採取的一種自救措施。掛起整個內存,通過藍屏的形式提示用戶,並且可以將此時的全部內存信息存儲下來用以分析(具體是否存儲,存儲多少,要看用戶自己的設置)。如果被攻擊的服務器是Linux或Unix系統,肯定沒有藍屏一說,但不排除其他的崩潰形式。Windows系統下也不好說,CPU和內存的負擔加劇,難保不會造成內核級別的錯誤。但我本人沒有服務器的搭建經驗,不敢確定。

      4、P2P终结者是不是用的类似原理?

      答:P2P終結者的攻擊原理,是利用IPv4協議中局域網內ARP列表所存在的先天性缺陷,和DDoS攻擊完全是兩碼事。具體ARP列表的問題,你可以自己查查,這裏不再贅述。

      5、DDos是否需要预先知道电脑IP地址?

      答:不知道IP地址……你攻擊誰啊……

      6、不论是普通的家庭还是公司或是服务器,是电脑联网的都能攻击吗?

      答:只要是連接到Internet的機器,都能攻擊,也都能被攻擊

      7、在小区宽带里(Cable Modem共享上网)有没有人可以通过这种方法(或者是P2P终结者)来攻击我的电脑从而堵住我的网速?

      答:我對Cable Modem共享上网的方式不是很瞭解,但一般而言,沒誰會顯得蛋疼像普通家庭用戶發動DDoS攻擊。P2P攻擊的前提是要在局域網中(攻擊者和被攻擊這都在局域網中,而且是同一個局域網),如果是這樣,你倒是有可能受到這種攻擊。被堵住網絡也是有可能的。

      DDOS攻击对于服务器的危害非同小可,我们还需掌握正确的应对方法。

      如何预防DDOS攻击?

      1、及时发现系统存在的攻击漏洞,安装系统补丁程序,重要信息(如:系统配置信息)及时建立和完善备份机制,谨慎设置特权帐号(如:管理员帐号)的密码,从而将把攻击者的可乘之机降低到最小。

      2、经常检查系统的物理环境以及配置信息,禁止一些不必要的网络服务,建立边界安全界限以确保输出的数据包受到正确限制,每天查看安全日志。

      3、利用防火墙等网络安全设备加固网络的安全性,将安全规则配置妥善,过滤掉所有可能的伪造数据包。

      4、与网络服务提供商进行沟通协调,让他们帮助自己实现路由的访问控制和对带宽总量的限制。

      5、当发现自己受到DDOS攻击时,应马上启动相应的应对策略,尽可能快的追踪攻击包,并且要及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。

      6、当你发现计算机被攻击者用做主控端和代理端,而自己成为潜在的DDOS攻击受害者时,切勿掉以轻心,因为攻击者已经发现你系统中的漏洞,所以一旦发现系统中存在DDOS攻击的工具软件要及时把它清除,不留后患。
      结束语:以上就是关于ddos攻击是什么以及如今预防ddos攻击的全部教程了,希望能够对大家有所帮助,正常ddos攻击主要对象是攻击那些开方了某些网络服务的计算机,一般来说都是服务器。普通的家庭电脑没开方服务的话你发送那些请求根本没有用。所以也不要一听到ddos攻击就被吓的不行。

    展开全文
  • DDoS攻击教程 DDOS全名是DistributedDenialofservice(分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。...
  • DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection ...

    DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

    不过这3中攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的,所以对它们的防御办法都是差不多的。

    DoS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。但是现在的科技飞速发展,一般的网站主机都有十几台主机,而且各个主机的处理能力、内存大小和网络速度都有飞速的发展,有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了,搞不好自己的机子就会死掉。举个这样的攻击例子,假如你的机器每秒能够发送10个攻击用的数据包,而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包,那样的话,你的攻击就什么用处都没有了,而且非常有死机的可能。要知道,你若是发送这种1Vs1的攻击,你的机器的CPU占用率是90%以上的,你的机器要是配置不够高的话,那你就死定了。




    不过,科技在发展,黑客的技术也在发展。正所谓道高一尺,魔高一仗。经过无数次当机,黑客们终于又找到一种新的DoS攻击方法,这就是DDoS攻击。它的原理说白了就是群殴,用好多的机器对目标机器一起发动DoS攻击,但这不是很多黑客一起参与的,这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器,他是通过他的机器在网络上占领很多的“肉鸡”,并且控制这些“肉鸡”来发动DDoS攻击,要不然怎么叫做分布式呢。还是刚才的那个例子,你的机器每秒能发送10攻击数据包,而被攻击的机器每秒能够接受100的数据包,这样你的攻击肯定不会起作用,而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话,嘿嘿!结果我就不说了。





    DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近,不过DRDoS是可以在广域网上进行的,而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网络上所有的计算机,这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己,不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那里,而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小,这样在短时间能发出大量的请求包,使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应,就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机,这就是Smurf攻击。而DRDoS攻击正是这个原理,黑客同样利用特殊的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样,黑客所发送的请求包的源IP地址是被攻击主机的地址,这样受欺骗的主机就都会把回应发到被攻击主机处,造成被攻击主机忙于处理这些回应而瘫痪。





    解释:

    SYNSynchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,ACK=0,连接响应时,SYN=1,ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。

    RSTReset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。

    ACKAcknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。

    TCP三次握手:

    展开全文
  • DDos攻击演示教程

    2010-12-27 03:57:51
    DDos攻击演示 假DDos攻击演示 假DDos攻击演示 假DDos攻击演示假DDos攻击演示 假DDos攻击演示
  • DDoS攻击基础教程

    2018-12-28 19:40:41
    基础教程ddos但不希望做坏事,了解一下ddos的手法怎么防御。
  • DDos攻击防御教程

    千次阅读 2018-03-06 21:38:04
    修改注册表防范DDos攻击 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] '关闭无效网关的检查。当服务器设置了多个网关,这样在网络不通畅的时候...
    修改注册表防范DDos攻击  Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]   '关闭无效网关的检查。当服务器设置了多个网关,这样在网络不通畅的时候系统会尝试连接  '第二个网关,通过关闭它可以优化网络。  "EnableDeadGWDetect"=dword:00000000   '禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。  "EnableICMPRedirects"=dword:00000000   '不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时,可以使服务器禁止响应。  '注意系统必须安装SP2以上  "NoNameReleaseOnDemand"=dword:00000001   '发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态,  '不设该值,则系统每隔2小时对TCP是否有闲置连接进行检查,这里设置时间为5分钟。  "KeepAliveTime"=dword:000493e0   '禁止进行最大包长度路径检测。该项值为1时,将自动检测出可以传输的数据包的大小,  '可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。  "EnablePMTUDiscovery"=dword:00000000   '启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后  '安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值  '设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。  "SynAttackProtect"=dword:00000002   '同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态  '的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。  "TcpMaxHalfOpen"=dword:00000064   '判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。  "TcpMaxHalfOpenRetried"=dword:00000050   '设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。  '项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。  '微软站点安全推荐为2。  "TcpMaxConnectResponseRetransmissions"=dword:00000001   '设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。  "TcpMaxDataRetransmissions"=dword:00000003   '设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。  "TCPMaxPortsExhausted"=dword:00000005   '禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的  '源路由包,微软站点安全推荐为2。  "DisableIPSourceRouting"=dword:0000002   '限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。  "TcpTimedWaitDelay"=dword:0000001e   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]  '增大NetBT的连接块增加幅度。缺省为3,范围1-20,数值越大在连接越多时提升性能。每个连接块消耗87个字节。  "BacklogIncrement"=dword:00000003   '最大NetBT的连接快的数目。范围1-40000,这里设置为1000,数值越大在连接越多时允许更多连接。  "MaxConnBackLog"=dword:000003e8    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]  '配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统,建议设置为1,表示允许动态Backlog。  "EnableDynamicBacklog"=dword:00000001   '配置最小动态Backlog。默认项值为0,表示动态Backlog分配的自由连接的最小数目。当自由连接数目  '低于此数目时,将自动的分配自由连接。默认值为0,对于网络繁忙或者易遭受SYN攻击的系统,建议设置为20。  "MinimumDynamicBacklog"=dword:00000014   '最大动态Backlog。表示定义最大"准"连接的数目,主要看内存大小,理论每32M内存最大可以  '增加5000个,这里设为20000。  "MaximumDynamicBacklog"=dword:00002e20   '每次增加的自由连接数据。默认项值为5,表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击  '的系统,建议设置为10。  "DynamicBacklogGrowthDelta"=dword:0000000a  ==============================================================================  以上存为.reg后即可直接导入.  当然可以在里面相应的添加其他设置进行一次性修改注册表.如:  '关闭445端口  "SMBDeviceEnabled"=dword:00000000  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]  '禁止C$,D$一类的共享  "AutoShareServer"=dword:00000000  '禁止ADMIN$缺省共享  "AutoShareWks"=dword:00000000  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]  '限制IPC$缺省共享  "restrictanonymous"=dword:00000000
    展开全文
  • DDOS 攻击的防范教程

    千次阅读 2018-07-01 10:43:41
    一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。 需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种...

    作者: 阮一峰
    日期: 2018年6月26日
    原文地址:http://www.ruanyifeng.com/blog/2018/06/ddos.html

    一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。

    需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生的朋友提供了各种帮助和建议,让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。

    DDOS 攻击

    一、DDOS 是什么?

    首先,我来解释一下,DDOS 是什么。

    举例来说,我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。
    DDOS 是什么?

    很不幸,我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说”赶快上餐”。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅瘫痪了。

    这里写图片描述

    这就是 DDOS 攻击,它在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。

    DDOS 里面的 DOS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。

    二、DDOS 的种类

    DDOS 不是一种攻击,而是一大类攻击的总称。它有几十种类型,新的攻击方法还在不断发明出来。网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的。

    其中,比较常见的一种攻击是 cc 攻击。它就是简单粗暴地送来大量正常的请求,超出服务器的最大承受量,导致宕机。我遭遇的就是 cc 攻击,最多的时候全世界大概20多个 IP 地址轮流发出请求,每个地址的请求量在每秒200次~300次。我看访问日志的时候,就觉得那些请求像洪水一样涌来,一眨眼就是一大堆,几分钟的时间,日志文件的体积就大了100MB。说实话,这只能算小攻击,但是我的个人网站没有任何防护,服务器还是跟其他人共享的,这种流量一来立刻就下线了。

    本文以下的内容都是针对 cc 攻击。

    三、备份网站

    防范 DDOS 的第一步,就是你要有一个备份网站,或者最低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。

    备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修。我的个人网站下线的时候,我就做了一个临时主页,很简单的几行 HTML 代码

    这里写图片描述

    这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。

    四、HTTP 请求的拦截

    如果恶意请求有特征,对付起来很简单:直接拦截它就行了。

    HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。

    拦截可以在三个层次做。

    (1)专用硬件

    Web 服务器的前面可以架设硬件防火墙,专门过滤请求。这种效果最好,但是价格也最贵。

    (2)本机防火墙

    操作系统都带有软件防火墙,Linux 服务器一般使用 iptables。比如,拦截 IP 地址1.2.3.4的请求,可以执行下面的命令。

    $ iptables -A INPUT -s 1.2.3.4 -j DROP

    iptables 比较复杂,我也不太会用。它对服务器性能有一定影响,也防不住大型攻击。
    (3)Web 服务器

    Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4,nginx 的写法如下。

    location / {
      deny 1.2.3.4;
    }

    Apache 的写法是在.htaccess文件里面,加上下面一段

    <RequireAll>
        Require all granted
        Require not ip 1.2.3.4
    </RequireAll>

    如果想要更精确的控制(比如自动识别并拦截那些频繁请求的 IP 地址),就要用到 WAF。这里就不详细介绍了,nginx 这方面的设置可以参考这里这里

    Web 服务器的拦截非常消耗性能,尤其是 Apache。稍微大一点的攻击,这种方法就没用了。

    五、带宽扩容

    上一节的 HTTP 拦截有一个前提,就是请求必须有特征。但是,真正的 DDOS 攻击是没有特征的,它的请求看上去跟正常请求一样,而且来自不同的 IP 地址,所以没法拦截。这就是为什么 DDOS 特别难防的原因。

    当然,这样的 DDOS 攻击的成本不低,普通的网站不会有这种待遇。不过,真要遇到了该怎么办呢,有没有根本性的防范方法呢?

    答案很简单,就是设法把这些请求都消化掉。30个人的餐厅来了300人,那就想办法把餐厅扩大(比如临时再租一个门面,并请一些厨师),让300个人都能坐下,那么就不影响正常的用户了。对于网站来说,就是在短时间内急剧扩容,提供几倍或几十倍的带宽,顶住大流量的请求。这就是为什么云服务商可以提供防护产品,因为他们有大量冗余带宽,可以用来消化 DDOS 攻击。

    一个朋友传授了一个方法,给我留下深刻印象。某云服务商承诺,每个主机保 5G 流量以下的攻击,他们就一口气买了5个。网站架设在其中一个主机上面,但是不暴露给用户,其他主机都是镜像,用来面对用户,DNS 会把访问量均匀分配到这四台镜像服务器。一旦出现攻击,这种架构就可以防住 20G 的流量,如果有更大的攻击,那就买更多的临时主机,不断扩容镜像。

    六、CDN

    CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。

    网站内容存放在源服务器,CDN 上面是内容的缓存。用户只允许访问 CDN,如果内容不在 CDN 上,CDN 再向源服务器发出请求。这样的话,只要 CDN 够大,就可以抵御很大的攻击。不过,这种方法有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛),就要想别的办法,尽量减少用户对动态数据的请求。

    上一节提到的镜像服务器,本质就是自己搭建一个微型 CDN。各大云服务商提供的高防 IP,背后也是这样做的:网站域名指向高防 IP,它提供一个缓冲层,清洗流量,并对源服务器的内容进行缓存。

    这里有一个关键点,一旦上了 CDN,千万不要泄露源服务器的 IP 地址,否则攻击者可以绕过 CDN 直接攻击源服务器,前面的努力都白费。搜一下”绕过 CDN 获取真实 IP 地址“,你就会知道国内的黑产行业有多猖獗。

    cloudflare 是一个免费 CDN 服务,并提供防火墙,高度推荐。我还要感谢 v2ex.com 的站长 @livid 热情提供帮助,我现在用的就是他们的 CDN 产品。

    更新(6月27日)

    攻击者看来订阅了我的微博。昨天这篇文章发布没多久,我就又遭受了攻击,他绕过CDN直接攻击源服务器(我不知道 IP 地址怎么泄漏的),流量还大过上一次。

    感谢腾讯云的朋友,提供了一个高防 IP,使得网站可以重新上线。现在,我的防护措施是,源服务器前面有 CDN。如果攻击域名,CDN 可以挡住;如果直接攻击源服务器,我买了弹性 IP ,可以动态挂载主机实例,受到攻击就换一个地址。这只是一个技术博客,内容都是免费的,要防到这种地步,我也是无语了。

    (完)

    展开全文
  • Nginx是一款轻量级的Web服务器,由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引Rambler使用。 下面这篇文章主要给大家介绍了关于Nginx防御DDOS攻击的配置方法,需要的朋友可以参考下。
  • 让我们看一下执行DDoS攻击的方法之一。这种攻击非常强大,并且需要您应该知道如何在Kali Linux操作系统上操作命令的唯一技能。首先,如果你想检查任何网站都有它的TCP端口80开启与否,你可以去nmap和给定的所有教程...
  • 出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等特点,DDoS攻击已经演变成全球性网络安全威胁。 购买阿里云服务器等产品或腾讯云产品,请先领取优惠券礼包! 领券地址:...
  • DDoS deflate是一款运行于Linux下,专门用于防止/减轻类DDOS攻击的程序。大多数DDOS攻击都是采取若干傀儡机同时对某一服务器发出大量连接请求,以耗光服务器资源的方法。 DDOS攻击的现场,目标服务器会出现难以理解...
  • 一个多月前,我的个人网站遭受 DDOS 攻击,下线了50多个小时。这篇文章就来谈谈,如何应对这种攻击。 需要说明的是,我对 DDOS 并不精通,从没想过自己会成为攻击目标。攻击发生以后,很多素昧平生...
  • 然后我又去某个qq群里,问了一下,如何更好的防范ddos攻击,讨论的结果是这样的。 DDOS的主要目的就是拉高你的入口带宽知道拖死为止 唯一的解决办法就是在应用服务器上层的交换机上,增加入口带宽,添加ddos行为...
  • Torshammer DDOS攻击代码

    2019-01-09 13:30:04
    是基于慢速DDOS攻击原理编写的python攻击代码,其攻击效果十分强大,能够攻击大多数小型网站,请仅作为实验使用,勿要用于真实攻击。
  • kali DDOS攻击

    万次阅读 多人点赞 2019-01-05 15:45:59
    本次文章发动DDOS攻击的是Github上的Python脚本 Paylod:https://github.com/Ha3MrX/DDos-Attack 首先从Github克隆到本地: Bash git clone https://github.com/Ha3MrX/DDos-Attack   然后进入DDos-Attack...
  • 分布式拒绝服务攻击DDoS)指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞、资源耗尽从而不能为正常用户提供正常服务的攻击手段。随着互联网带宽的增加和相关工具的不断发布,这种攻击...
  • DDoS deflate是一款运行于Linux下,专门用于防止/减轻类DDOS攻击的程序。大多数DDOS攻击都是采取若干傀儡机同时对某一服务器发出大量连接请求,以耗光服务器资源的方法。 DDOS攻击的现场,目标服务器会出现难以...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,118
精华内容 847
关键字:

ddos攻击教程