Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

如何防御ddos攻击和cc攻击 教学篇



       DDOS攻击如果能成功,损失一样大,根本目的是影响服务器对外提供服务。纯网络层dd

os攻击简单暴力,直接把出口堵死,只能联动运营商黑洞引流,自损ip。相当于一个商场,有

4个入口(对外ip),入口1挤了一群人把口堵住了,这群人里面有真来购物的(正常访问用户

,大部分是花钱请的就是来堵门的(攻击流量),这种情况怎么办?排队也没用,要么扩门

增加带宽,要么把门堵死谁也别进了,上防火墙也没用,防火墙吞吐也有上限,大流量ddos

攻击只能引入黑洞路由,或者云清洗,防御流量类ddos攻击也简单,升级带宽和数据中心性

能,但再怎么升级一样会有更大量的攻击,影响正常业务。
 
 
 
Cc攻击是比较隐蔽且高端点的攻击,流量不大但是一直占用服务器资源,比如超市收银台,

就一直站在那,以找钱、聊天、换商品或者动作像个八十岁腿脚不灵活的老人,此类单纯消

耗收银员时间,影响其他顾客正常购物的行为,8个收银台有一百多号这种人,超市一样没

法正常营业。cc攻击行为隐蔽复杂,防御一样需要成本和很高的技术。
 
 
 
 
CC攻击对服务器伤害当然大,因为cc攻击成本低,不是syn这样的大包,动不动200-600g

这样大流量洪水,攻击带宽是要成本的。这样对骨干网络出口影响小,不容易引起运营商

过多重视。但是对被攻击的目标站点影响大。。而且CC攻击会导致服务器的CPU100%,而

长时间硬件的CPU高负载,等于CPU一直在最大功耗下工作,所以哪怕不考虑服务器业务

系统受影响,从硬件层面来看,都很危险,搞不好散热器都蹦掉。都是攻击行为,目的都

是一样,都是以搞死服务器为目的.
 
 
 
如何防御DDoS攻击和CC攻击?
 
 
针对DDoS攻击和CC攻击高发的情况下,如何才能采取有效手段进行防御呢?确保服务器

系统安全,确保服务器的系统文件并及时更新系统补丁;管理员需对所有主机进行检查,

知道访问者的来源;关闭不必要的服务:在服务器上删除未使用的服务,关闭未使用的端

口;限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流

量;正确设置防火墙,在防火墙上运行端口映射程序或端口扫描程序;认真检查网络设备

和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻

击;限制在防火墙外与网络文件共享,这样会给黑客截取系统文件的机会,若黑客以特洛

伊木马替换它,文件传输功能无疑会陷入瘫痪;充分利用网络设备保护网络资源。
 
 
 
隐藏服务器的真实IP地址,服务器防御DDOS攻击最根本的措施就是隐藏服务器真实IP地

址。在资金充足的情况下,可以选择高防服务器,且在服务器前端加CDN中转,所有的域

名和子域都使用CDN来解析。高防服务器
,禁止网站代理访问,尽量将网站做成静态页面

,限制连接数量,访问频率控制,来源限制,客户端IE验证等一系列策略规则以及组合策

略拦截。
分享: