36
DDoS攻击、CC攻击的攻击方式和DDoS防御方法



DDoS防御
ddos攻击防御方法:

如果您服务器被大流量攻击,建议买相应带防御服务器进行配置,这样成本就便宜很多。 下面可以选择2个方案进行配置:

1、最简单的使用Iptables的DNAT技术,直接让流量通过高防后,转发到源站;

2、使用nginx的反向代理技术;

方案一优势是配置简单,配置好iptables规则后,不需要管后端源站有多少域名,只需要流量是通过高防统统转发到源站,但缺点是源站无法获取客户的真实IP。

方案二优势是可以获取让源站获取客户真实IP,缺点是源站有多少域名都需要在nginx的反向代理里配置。

当前这2个方案,都得结合DNS技术,需要把高防的IP解析到域名,一般高防多节点会给你2个IP,一个是电信,一个是联通,所以你需要在DNS里解析这2个IP,我使用DNSPOD,所以你可以参考下面

在"线路类型"这里,默认与电信线路都解析到高防的电信里,联通就解析到联通里,TTL时间最好能短一些,如果有问题可以快速切换,但由于我这个是免费dnspod,所以只能是600秒了。

另外如果想使用高防,你源站IP也需要先切换到一个新的IP,因为旧的已经暴漏,如果不换IP,可能导致对方直接攻击你源站,并且切换到新IP后,80端口也只允许高防IP获取数据。

下面介绍如果使用iptables的dnat与nginx反向代理。

1、IPTABLE的DNAT

A、需要先配置转发功能

sysctl -w net.ipv4.ip_forward=1

B、配置iptables

*nat

:PREROUTING ACCEPT [9:496]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口

-A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口

-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP

-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP

COMMIT

# Generated by iptables-save v1.4.7 on Wed Feb 22 11:49:17 2017

*filter

:INPUT DROP [79:4799]

:FORWARD ACCEPT [37:2232]

:OUTPUT ACCEPT [150:21620]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,10050 -j ACCEPT

-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

COMMIT

针对上面高防电信IP、高防联通IP、源站IP、源站web端口、公司机房网段进行修改。

完成后重启iptables就可以生效(dnspod的配置别忘记),源站不需要修改任何配置。

2、Nginx的反向代理

A、安装

yum或编译都行,但如果想让源站获取真实用户IP需要新增模块(高防与源站都需要有此模块)

--with-http_realip_module

这个模板默认yum安装是已存在,如果不知道自己有哪些模块可以使用下面命令查看

nginx -V

B、在高防的nginx的里配置

upstream web {

        server xxx.xxx.xxx.xxx:80;

    }

    server {

        listen 80;

        server_name notice1.ops.xxx.xxx;

        client_max_body_size 10M;

        proxy_read_timeout 30;

        access_log  /var/log/nginx/access_notice.log;

        error_log  /var/log/nginx/error_notice.log;

        location / {

          proxy_set_header X-Real-IP $remote_addr;

          proxy_set_header X-Forwarded-For $remote_addr;

          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

          proxy_set_header Host $host;

          proxy_redirect off;

          proxy_headers_hash_max_size 51200;

          proxy_headers_hash_bucket_size 6400;

          proxy_pass http://web;

        }

    }

需要修改upstream web里的server源站ip与端口,以及server_name那里的域名。

最后你需要在iptables里开通本机80允许公网访问。

C、在源站的nginx里配置

server {

        listen       80;

    server_name notice1.ops.xxx.xxx;

    index index.html index.htm index.php;

    root  /var/www/html/;

    access_log  /var/log/nginx/notice-access.log;

    error_log  /var/log/nginx/notice-error.log;

    error_page 502 = /502.html;

    location ~ .*\.(php|php5)?$ {

        fastcgi_pass  unix:/tmp/php-cgi.sock;

        fastcgi_index index.php;

        include fastcgi.conf;

    }

    location / {

        proxy_set_header X-Real-IP $remote_addr;

        proxy_set_header X-Forwarded-For $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_set_header Host $host;

        proxy_redirect off;

        set_real_ip_from xxx.xxx.xxx.xxx;

        real_ip_header X-Real-IP;

}

    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|mp3)$ {

        expires      30d;

    }

    location ~ .*\.(js|css)?$ {

        expires      12h;

    }

}

主要需要修改的是server_name与set_real_ip_from,后者是需要填写高防的IP。

完成后重启nginx,并且在iptables防火墙里设置只允许高防IP访问自己本地80.

另外如果你有多个域名,就写多个虚拟主机配置文件就好。

 

 

CC攻击防御方法

1. 利用Session做访问计数器:利用Session针对每个IP做页面访问计数器或文件下载计数器,防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。(文件下载不要直接使用下载地址,才能在服务端代码中做CC攻击的过滤处理)

2. 把网站做成静态页面:大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给骇客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器。

3. 在存在多站的服务器上,严格限制每一个站允许的IP连接数和CPU使用时间:这是一个很有效的方法。CC的防御要从代码做起,其实一个好的页面代码都应该注意这些东西,还有SQL注入,不光是一个入侵工具,更是一个DDOS缺口,大家都应该在代码中注意。举个例子吧,某服务器,开动了5000线的CC攻击,没有一点反应,因为它所有的访问数据库请求都必须一个随机参数在Session里面,全是静态页面,没有效果。突然发现它有一个请求会和外面的服务器联系获得,需要较长的时间,而且没有什么认证,开800线攻击,服务器马上满负荷了。代码层的防御需要从点点滴滴做起,一个脚本代码的错误,可能带来的是整个站的影响,甚至是整个服务器的影响!

4. 服务器前端加CDN中转,如果资金充裕的话,可以购买高防服务器,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。 

另外,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。 

总之,只要服务器的真实IP不泄露,10G以下小流量DDoS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏


这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!