当黑客发现低层次的DDOS已经不起作用时,便会加大攻击力度。一开始我们官网的平均并发数只有几千,后来加大到了平均1万6千个并发,最高7万个并发,这样上面的CPU监视功能就没有效果了,因为w3wp.exe重启后,会在极短时间内CPU重新达到100%。
分布式拒绝服务攻击(DDoS)指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞、资源耗尽从而不能为正常用户提供正常服务的攻击手段。随着互联网带宽的增加和相关工具的不断发布,这种攻击的实施难度越来越低,有大量IDC托管机房、商业站点、游戏服务商一直饱受DDoS攻击的困扰,那么如何缓解甚至解决DDoS呢?最近在的官方博客上发表了一篇文章,介绍了如何通过和缓和DDoS攻击。
可以关闭那些请求数据非常稀少的连接,这些连接通常试图保持尽可能长的时间以消耗服务器资源。攻击就是这种类型。指令控制在两次用户体写之间等待多长时间,指令控制在两次用户头部写之间等待多长时间。这两个指令默认值均为60秒。下面为示例配置在两次用户体或头部写之间最多等待5秒:
我们调整的一个重要参数是配置文件/etc//.conf中的工作进程数和连接数。我们逐步将工作进程和连接调整为更高的值来处理DDoS攻击。例如,我们通过设置配置文件,来调整工作连接,允许每个工作进程处理多达个连接。最重要的是,我们的支持工程师会在增加这些值之前检查服务器资源,因为未优化的值可能会破坏整台香港服务器。除此之外,我们还使用系统打开文件限制来限制连接数。换句话说,我们在/etc/.conf中修改参数fs.。另外,设定每个用户的开放文件限制数。例如在/etc//.conf文件中设置工作进程的打开文件限制。
开头说过抗DDOS是一个系统工程,通过优化系统和软件配置,只能防御小规模的CC攻击,对于大规模攻击、四层流量攻击、混合攻击来说,基本上系统和应用软件没挂,带宽就打满了。下面是我在工作中使用过的防御DDOS的方式:
之前有过几次攻击,但都是三三俩俩的过来,使用禁掉IP就是了。然而此次,显然不是禁掉IP可以解决问题的了,这么多IP收集是个问题(当然可以通过正则匹配获取),还有可能造成误伤。
通过启用缓存并设置某些缓存参数让和吸收攻击所产生的大部分流量峰值。例如,通过指令的参数告诉何时需要更新过期的缓存对象,避免因重复发送更新请求对后端服务器产生压力。
相关报告显示,黑客每天都在企图使用新方法发起DDoS攻击。这使得DDoS保护成为服务器安全的关键一步。在恒创科技,我们帮助我们的香港服务器租用用户在其服务器上实施DDoS保护,并提供卓有成效的香港高防服务器来帮助企业和开发者实现全品类DDoS攻击的智能检测和高效防护。今天,我们将讨论几种服务器中预防DDoS的不同方式。
常见的DDoS攻击种类:网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。传输层攻击:比较典型的攻击类型包括攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。会话层攻击:比较典型的攻击类型是SSL连接攻击,这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。应用层攻击:比较典型的攻击类型包括攻击、攻击、游戏假人攻击等,这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。
代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc()。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为
预防的最简单方法之一是使用CSF,,UFW,APF等软件防火墙。例如,在中,我们的托管工程师使用脚本命令限制端口80上的连接数。并且,如果连接数超过连接限制,则该IP将在服务器中被阻止访问。同样,大多数Web主机在其服务器中使用CSF防火墙。在这里,我们调整,,等参数来限制连接。同样,服务器具有默认防火墙UFW(简单防火墙)。UFW的默认规则是拒绝所有传入连接并允许所有传出连接。因此,用户只能在服务器上启用所需的端口和IP,从而减少服务器暴露于DDoS攻击的风险。
虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用系统本身提供的防火墙功能来防御。SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。内核提供了若干SYN相关的配置,加大SYN队列长度可以容纳更多等待连接的网络连接数,打开功能可以阻止部分SYN攻击,降低重试次数也有一定效果。而DDOS则是通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。可以通过配置防火墙或者使用脚本工具来防范
除DDoS预防之外,我们建议客户采用香港高防服务器来部署。我们的香港高防服务器基于智能化的全品类DDoS攻击检测系统和流量清洗平台,接入高防线路,可以全天候24小时实时保护您的服务器免受DDoS攻击侵害。我们的香港高防服务器,根据攻击情况,支持自动侦测和秒级触发清洗高达规模的DDoS攻击,支持压力测试,支持防御无效退款承诺。
高防服务器和带流量清洗的ISP通常是美韩的服务器,部分ISP骨干供应商有流量清洗服务,例如香港的PCCW。通常可以防御10G左右的小型攻击 流量清洗服务例如:(),我们最大受到过80G流量的攻击,成功被清洗,但是费用非常贵 CDN例如:蓝讯网宿等,CDN针对DDOS的分布式特点,将流量引流分散,同时对网站又有加速作用,效果好,成本相对低。 总结一下:发动攻击易,防御难。七层好防,四层难防;小型能防,大型烧钱
关闭慢连接关闭那些一直保持打开同时写数据又特别频繁的连接,因为它们会降低服务器接受新连接的能力。就是这种类型的攻击。对此,可以通过和指令控制请求体或者请求头的超时时间,例如,通过下面的配置将等待时间控制在5s之内: