可以通过做好隐藏和硬抗两个方面来防御DDoS攻击:
1、做好日常隐藏工作
对于企业来说,减少公开暴露是防御 DDoS 攻击的有效方式。比如说:网站做CDN加速,隐藏真实IP;限制特定IP访问等。
2、硬抗
在遭受DDoS攻击的时间,可以通过扩大出口带宽、购买景安DDOS防护产品。
扩展资料:
DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
参考资料:
景安网络:服务器如何做好ddos防御?
将服务器设置为NAT吧,装上server2003后安装路由与远程访问服务,在启用时点选NAT,再在你的网内发布IIS,将IIS 的网站通过端口映射的方式给外网,具体 *** 作可以上网查可以一起讨论哈,用NAT是最简便最有效的方法我们知道,服务器对外提供服务,基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击,如果不做好必要的防护措施,服务器被人攻击只是时间上的问题。
而我们面临的众多攻击中,DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击,发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的,特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时,服务器负载瞬间上涨、带宽被占满,导致其它服务器无法处理其它合法用户的正常请求。
从本质上说,DDoS带来的请求也是正常请求,所以DDoS防护较难。但是,如果我们把服务器的真实IP隐藏起来,那可以很大程度减小DDoS攻击的可能。
有哪些手段可以隐藏服务器真实的IP呢,我觉得主要有以下几种方案:
1、禁用服务器ICMP回显响应
互联网上的服务器众多,一般情况下我们在公网上的服务器被人发现是要一段时间的,攻击者会通过IP段来扫描存活的机器,一旦扫描到某个IP时有回显,说明此IP是存活的,就会被攻击者记录下来,所以我们要关闭回显功能,这样别人扫描时服务器没有响应,可以避免被人发现。
不管是WindowsServer还是Linux都可以通过防火墙来关闭ICMP回显功能。
WindowsServer *** 作方法:
控制面板》查看方式“大图标”》Windows防火墙》左侧“高级设置”》入站规则》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击,然后选中“已启用”和“阻止连接”,示:
Linux服务器 *** 作方法:
#vi/etc/sysconfig/iptables
添加几条规则,示:
2、利用CDN隐藏源站真实IP
CDN本来是内容分发用的,主要用来做资源加速的,但是CDN本身上也算是一种代理服务器,所以可以隐藏源站的IP。另外CDN节点都带有一定的防护功能,所以DDoS攻击时,CDN可以帮我们分担很多的流量,这样对于源站影响就较小了。
3、使用高防IP
通过主防IP转发,这样就能隐藏源服真实IP。
要在linux上配置DNS ,简单说DNS是域名解析服务,可以实现域名到IP的解析,也可以实现IP到域名的反向解析功能。 能够使用户更方便的访问互联网。
1、linux 如何配置dns
DNS 分服务器端和客户端的,现在分别简单说下。
(1):linux DNS 服务器端配置简要说明
一般互联网公司或域名提供商,都有自己的DNS服务器, 在互联网上99%的DNS服务器都是运行在linux平台上的。
linux上常用bind软件包来搭建DNS Server服务
大致过程是:
安装bind软件包—— 编译DNS 主配置文件namedconf —— 编辑区域配置文件(正反向区域配置文件)—— named-checkconf语法检查以上配置是否正确——正确的话 启动named服务—— 进行互联网测试(一般用nslookup测试解析是否生效)。
也可以用,目前比较流行的unbound 软件包来搭建DNS Server服务器,在配置上跟bind有所差异。
unbound是一款相对简单的DNS服务器软件,相对于bind的复杂配置,更适合新手搭建DNS服务器使用。
(2):Linux DNS 客服端配置
DNS客户端意思是,本机只作为客户端使用第三方DNS server服务器提供的DNS服务, 客户端机器(linux系统)访问Internet上的web站点,需要做DNS来提供域名的解析。
以centos为例
用来域名解析服务的DNS服务器的IP,配置在/etc/resolvconf这个文件中,如 nameserver 20210222768 表示。
修改linux客户端DNS的ip后,需要重启下网络服务,才能使得DNS功能生效。 可用 "nslookup 域名" 的方式来测试客户端DNS功能是否正常。
2、 高防服务器承载量多大
高防服务器可以抗流量攻击,提高服务器的自身防御能力。比如常见的DDOS攻击,攻击者发送大量的请求 ,占用大量网络资源,以达到瘫痪网络。高防服务器依靠机房智能防火墙系统进行流量清洗,过滤掉异常的请求。
一台服务器的承载量跟服务器的硬件性能和带宽的关系比较大。在服务器硬件一定的情况下, 那服务器的负载,并发数量取决于带宽了。
此外,必须要考虑应用类型。
如视频和普通文本,所使用的网络资源是不一样,所以并发量也不一样的。
比如100M带宽,看视频
100M的独享带宽的理论速度:
100Mbps×1024÷8=12800KB/S
以视频服务器为例,在用户群较少的情况下,用户源上的沉淀很少,带宽大部分要由100M服务器提供,100M服务器可以支持300人在线点播400K码率的**。所以至少支持并发人数:300
当用户非常多的时候,很多视频一发布很快就有足够的源沉淀下来,这样服务器只需要提供部分带宽,100M服务器可以把冗余带宽用于源少的视频,反而能支持更多用户。这种情况下服务器能满足的同时观看人数就没有上限。
当用户数量一半多的时候,这个时候比较尴尬,因为大部分文件的来源数并没有达到不由服务器提供带宽的地步,然而用户多并且文件占用的多,很多视频都需要服务器提供带宽,用户源那不太多,100M服务器能提供的带宽有限,用户点播视频可能就会有点卡。
企业要根据自身的网站类型和流量预判来选择带宽大小。高防服务器
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)