网站被ddos攻击了 怎么防御?
随着DDOS攻击的成本越来越低,很多人就通过DDOS来实现对某个网站或某篇文章的“下线”功能,某篇文章可能因为内容质量好,在搜索引擎有较高的排名,但如果因为DDOS导致网站长时间无法访问,搜索引擎则会将这篇文章从索引中删除,网站的权重也会降低,因为达到了“下线”文章的目的。
对付DDOS不太容易,首先要找一个靠谱的主机供应商,我之前有个主机供应商,一发现某个IP被DDOS,就主动屏蔽这个IP好几天,实际上就是硬件和技术能力不足的表现。
国外的主机供应商也未必靠谱,比如之前有次被DDOS,我就把博客转到Dreamhost的空间,事实表明Dreamhost的防DDOS的能力不敢恭维,DDOS来了之后,Dreamhost对付DDOS倒是不客气,直接把中国地区的IP全给屏蔽了。
一般来说,DDOS是需要花钱和带宽的,解决DDOS也需要花钱和带宽,那么,如果服务器被DDOS了,我们应该怎么办呢?
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
2、隐藏服务器的真实IP地址
不要把域名直接解析到服务器的真实IP地址,不能让服务器真实IP泄漏,服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
总之,只要服务器的真实IP不泄露,5G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过10G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。
如何有效防御DDOS攻击?
11种 *** 教你有效防御DDOS攻击:
1、采用高性能的 *** 设备
首先要保证 *** 设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和 *** 提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换NAT的使用,因为采用此技术会较大降低 *** 通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对 *** 包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的 *** 带宽保证
*** 带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,更好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的 *** 带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为 *** 服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有 *** 带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P42.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别贪图IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、将网站做成静态页面或者伪静态
事实证明,将网站做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现。现在很多门户网站主要都是静态页面,若你非要动态脚本调用,那就把它弄到另外一个单独主机,免的遭受攻击时连累主服务器。当然,适当放一些不做数据库调用脚本还是可以的,此外,更好在需要调用数据库的脚本中拒绝使用 *** 的访问,因为经验表明使用 *** 访问你网站的80%属于恶意行为。
6、增强操作系统的TCP/IP栈
win2000和win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵抗约10000个SYN攻击包,若没有开启则仅能抵抗数百个。
7、安装专业抗DDOS防火墙
8、HTTP请求拦截
如果恶意请求有特征,对付起来很简单,直接拦截就可以。HTTP请求的特征一般有两种:IP地址和User Agent字段。
9、备份网站
你要有一个备份网站,或者更低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。
备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求,更低限度应该可以显示公告,告诉用户,网站出了问题,正在抢修。这种临时主页建议放到Github
Pages或者Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。
10、部署CDN
CDN指的是网站的静态内容分布到多个服务器,用户就近访问,提高速度。因此,CDN也是带宽扩容的一种 *** ,可以用来防御DDOS攻击。
网站内容存放在源服务器,CDN上面是内容的缓存。用户只允许访问CDN,如果内容不在CDN上,CDN再向源服务器发出请求。这样的话,只要CDN够大,就可以抵御很大的攻击。不过,这种 *** 有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站,就要想别的办法,尽量减少用户对动态数据的请求;本质就是自己搭建一个微型CDN。各大云服务商提供的高防IP,背后也是这样做的:网站域名指向高防IP,它提供了一个缓冲层,清洗流量,并对源服务器的内容进行缓存。
这里有一个关键点,一旦上了CDN,千万不要泄露源服务器的IP地址,否则攻击者可以绕过CDN直接攻击源服务器,前面的努力都白费了。
11、其他防御手段
以上的几条建议,适合绝大多数拥有自己主机的用户,但假如采取以上措施后仍然不能解决DDOS问题,就比较麻烦了,可能需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入。
网站被DDOS攻击的防御 *** ?有效的防御?
一般来说,DDOS是需要花钱和带宽的,解决DDOS也需要花钱和带宽,那么,如果服务器被DDOS了,我们主要从以下两个方面来解决
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
2、隐藏服务器的真实IP地址
不要把域名直接解析到服务器的真实IP地址,不能让服务器真实IP泄漏,服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS),如果资金充裕的话,可以购买锐速云高防,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
总之,只要服务器的真实IP不泄露,5G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过10G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。
如何防只高防服务器被入侵
您好。服务器是否被入侵取决于您的网站性质,如果网站盈利很大,被入侵是很正常的事儿,这种情况选择高防服务器就可以了。高防服务器并不能防止被入侵,只是说在一定的范围内把入侵者挡在防火墙外。希望我的回答可以帮到您
怎么能攻击cdn防护网站
高防CDN架构,云端防护,商城站和游戏的首选,云盾高防CDN,网站在头像
。
游戏行业一直竞争非常激烈,其中棋牌行业是竞争、攻击最复杂的一个“江湖”。
很多公司对这个行业不了解,贸然进行进入,对自身的系统、业务安全没有很好的认知,被攻击了就会束手无策,尤其是DDoS攻击是什么,怎么防护都不了解。
黑客的主要攻击方式:
1、DDoS 它使用UDP报文、TCP报文攻击游戏服务器的带宽,这一类攻击十分暴力,现象就是服务器带宽异常升高,攻击流量远远大于服务器能承受的更大带宽,导致服务器造成拥塞,正常玩家的请求到达不了服务器。
2、BotAttack(TCP协议类CC攻击) 这种攻击比DDoS更难防御,黑客通过TCP协议的漏洞,利用海量真实肉鸡向服务器发起TCP请求,正常服务器能接受的请求数在3000个/秒左右,黑客通过每秒十几万的速度向服务器发起TCP请求,导致服务器TCP队列满,CPU升高、内存过载,造成服务器宕机,会严重影响客户的业务,这种攻击的流量很小,在真实的业务流量中隐藏,难以发现又很难防御。
3、业务的模拟(深度业务模拟类CC攻击) 棋牌类的游戏通信协议比较简单,黑客进行协议破解几乎没什么难度,目前我们已经发现有黑客会针对棋牌客户的登陆、注册、房间创建、充值等多种业务接口进行协议模拟型的攻击,这种流量相当于正常业务流量,比BotAttck模拟程度更高,防御难度更高!
4、其他针对性手段 除了传统的 *** 攻击,很多棋牌客户还被有针对性的攻击,例如:数据库数据泄漏、微信恶意举报封域名等非常有针对性的攻击,出现问题会直接影响业务的发展。 游戏公司如何判断自己被攻击呢? 假设可以确实不是线路和硬件故障,连接服务器突然变得困难,在游戏中的用户掉线等现象,则很有可能是遭受了DDoS攻击。 目前,游戏行业的IT基础设施有两种部署模式:一是采用云计算或托管IDC模式,二是自拉 *** 专线。由于费用的考虑,绝大多数采用前者。 不管是前者还是后者接入,正常游戏用户可以自由的进入服务器娱乐。如果突然出现这几种现象,就可以判断是“被攻击”状态。
(1)主机的IN/OUT流量较平时有显著的增长。
(2)主机的CPU或者内存利用率出现无预期的暴涨。
(3)通过查看当前主机的连接状态,发现有很多半开连接,或者是很多外部IP地址,都与本机的服务端口建立几十个以上ESTABLISHED状态的连接,就是遭到了TCP多连接攻击。
(4)游戏客户端连接游戏服务器失败或登录过程非常缓慢。
(5)正在游戏的用户突然无法操作或者总是断线。 如何针对这些攻击做好防御呢? 可以通过高防cdn进行防护。YUNDUN-CDN就是高防cdn的良 *** 商。它的节点拥有极大的带宽,各节点承受流量能力很强, *** 突发流量增加时能有效应对。YUNDUN-CDN在节点之间建立了智能冗余和动态加速机制,访问流量能实时分配到多个节点上,智能分流。当网站遭受ddos攻击时,加速系统会将攻击流量分散到多个节点,节点与站点服务器压力得到有效分担, *** 黑客攻击难度变得很高,服务器管理人员拥有更多的应对时间,可以有效的预防黑客入侵,降低各种ddos攻击对网站带来的影响。YUNDUN-CDN可隐藏服务器源IP,可以有效提升源站服务器的安全系数。如果想通过高防cdn防御ddos攻击,YUNDUN-CDN一定可以帮助到您。
网站被攻击怎么用高防CDN去防御DDOS攻击
目前,ddos攻击已经成为互联网上更具危害性最难防御的攻击之一。几乎所有企业都在寻求防御ddos攻击的办法。对于ddos攻击,普遍采用的防护手段有四种:
1、源验证/反向探测,对源进行探测和人机识别,段包括cookie、识别码等;
2、限源,即对源IP或协议进行限制,blacklist是一个常见手段;
3、特征丢弃,依据数据包的特征或访问行为进行丢弃,如基于Payload特征、发包行为特征、QPS特征等;
4、限速,对流量/访问的速率进行限流。
特别对于大流量ddos攻击的防护,与电信运营商配合也是必不可少的。其中包括与运营商配合实施就源清洗,以及在运营商侧路由器上对特定协议或特定来源的IP进行限制都是降低防护开销的办法。
除以上 *** 之外,还可以通过高防cdn进行ddos攻击的防护。Diycdn就是高防cdn的代表服务商之一。其加速节点拥有非常大的带宽,单个节点承受流量能力极强,可有效应对 *** 突发流量增加的状况。而且Diycdn在其节点及节点之间建立了智能冗余和动态加速机制,该机制可实时将访问流量分配到多个节点上,智能分流。当站点遭受ddos攻击时,整个加速系统将攻击流量全部分散开,大大降低了节点与站点服务器压力,同时加大了 *** 黑客攻击难度,可为服务器管理人员提供更多的应对时间,可以有效的预防黑客入侵以及降低各种ddos攻击对网站带来的影响。
另外,Diycdn可隐藏服务器源IP,大大增加了黑客攻击难度,可以有效提升了源站服务器的安全系数。如果想通过高防cdn防御ddos攻击,Diycdn一定可以帮助到你。
