2022-12-01 分類: 網站建設
一個成功的網站運營,在發展建設的同時,都有應該明白要做好防攻擊,如果前期不做好防御工作,一旦遭遇大量的DDos攻擊或CC攻擊,那么自己的網站很有必然處于癱瘓狀態,之前所作的努力將付之東流。
什么是DDoS攻擊和CC攻擊
DDoS,又稱分布式拒絕服務,信息安全的三要素保密性、完整性和可用性中,DDoS攻擊,針對的目標正是“可用性”。該攻擊方式迫使服務器的緩沖區滿,不接收新的請求,使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。
CC攻擊,即挑戰黑洞,CC攻擊的原理是通過代理服務器或者大量肉雞模擬多個用戶訪問目標網站的動態頁面,制造大量的后臺數據庫查詢動作,消耗目標CPU資源,造成拒絕服務。
DDoS攻擊的是網站的服務器,而CC攻擊是針對網站的頁面攻擊的,用術語來說就是,DDoS一個是WEB網絡層拒絕服務攻擊,CC一個是WEB應用層拒絕服務攻擊。
DDos攻擊的常見方法
1、SYN Flood:利用TCP協議的原理,這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統的網絡服務,主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK 包,導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務。
2、HTTP Flood:針對系統的每個Web頁面,或者資源,或者Rest API,用大量肉雞,發送大量http request。這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的,特征是和服務器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用,典型的以小博大的攻擊方法。缺點是對付只有靜態頁面的網站效果會大打折扣。
3、慢速攻擊:Http協議中規定,HttpRequest以\r\n\r\n結尾來表示客戶端發送結束。攻擊者打開一個Http 1.1的連接,將Connection設置為Keep-Alive,保持和服務器的TCP長連接。然后始終不發送\r\n\r\n,每隔幾分鐘寫入一些無意義的數據流,拖死機器。
4、P2P攻擊:每當網絡上出現一個熱門事件,比如XX門,精心制作一個種子,里面包含正確的文件下載,同時也包括攻擊目標服務器的IP。這樣,當很多人下載的時候, 會無意中發起對目標服務器的TCP連接。
DDoS攻擊防御方法
1、過濾不必要的服務和端口:可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口,即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較,并加以過濾。只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。
2、異常流量的清洗過濾:通過DDOS硬件防火墻對異常流量的清洗過濾,通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。單臺負載每秒可防御800-927萬個syn攻擊包。
3、分布式集群防御:這是目前網絡安全界防御大規模DDOS攻擊的最有效辦法。分布式集群防御的特點是在每個節點服務器配置多個IP地址(負載均衡),并且每個節點能承受不低于10G的DDOS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,并將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
4、高防智能DNS解析:高智能DNS解析系統與DDOS防御系統的好結合,為企業提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統一個域名對應一個鏡像的做法,智能根據用戶的上網路線將DNS解析請求解析到用戶所屬網絡的服務器。同時智能DNS解析系統還有宕機檢測功能,隨時可將癱瘓的服務器IP智能更換成正常服務器IP,為企業的網絡保持一個永不宕機的服務狀態。
5、利用Session做訪問計數器:利用Session針對每個IP做頁面訪問計數器或文件下載計數器,防止用戶對某個頁面頻繁刷新導致數據庫頻繁讀取或頻繁下載某個文件而產生大額流量。(文件下載不要直接使用下載地址,才能在服務端代碼中做CC攻擊的過濾處理)
6、把網站做成靜態頁面:大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給駭客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器。
7、增強操作系統的TCP/IP棧
Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數百個,具體怎么開啟,自己去看微軟的文章吧!《強化 TCP/IP 堆棧安全》。也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN Cookies》。
8、服務器前端加CDN中轉(免費的有百度云加速、360網站衛士、加速樂、安全寶等),如果資金充裕的話,可以購買高防的盾機,用于隱藏服務器真實IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服務器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析。
網頁名稱:網站建好了如何防止被攻擊
轉載源于:http://m.newbst.com/news17/218217.html
成都網站建設公司_創新互聯,為您提供定制網站、手機網站建設、云服務器、網站維護、電子商務、企業網站制作
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容