一、如何应对SYN flood攻击:(网络层DDos)
SYN/Cookies 算法,为每一个IP分配一个“Cookie”,并统计每个IP地址的访问频率。如果短时间内收到大量的来自同一个IP
地址的数据包,则认为收到了攻击,之后来自这个IP的包将被丢弃。
一些产品会串联或者并联到网络出口处,结合DDos攻击的特征,对流量进行清洗。
二、应用层DDos:
CC攻击原理:对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务器资源的目的。
如何应对:1、优化服务器性能,将使用频率高的数据放在mamcache中,相对于查询数据库所消耗的资源来说,查询mamcache所消耗的资源可以忽略不计。
2、最常见的措施是针对每个“客户端”做一个请求频率的限制。
3、在网络架构上做好优化,善于利用负载均衡技术,避免用户流量集中在单台服务器上。同时可以充分利用好CDN和镜像站点的分流作用,缓解主站的压力。
4、使用验证码
三、Web Server 配置安全
Apache:Apache的高危漏洞大部分是由它的Module造成的,因此检查Apache安全的第一件事
就是,尽可能地减少不必要地Module,对于要使用地Module则检查其是否有已知的安全漏洞。
为Apache单独建立一个user/group,不要使用root或者admin,危害如下:(1)黑客入侵时,
将直接获得一个高权限(2)应用程序本身具备较高的权限,当出现bug时,可能带来较高的
风险。
Nginx:Nginx的高危漏洞比Apache多,因此多多关注Nginx的漏洞信息,并及时将软件升级到安全
版本,是非常有必要的。与Apache一样,Nginx也应该以单独身份运行。
SYN/Cookies 算法,为每一个IP分配一个“Cookie”,并统计每个IP地址的访问频率。如果短时间内收到大量的来自同一个IP
地址的数据包,则认为收到了攻击,之后来自这个IP的包将被丢弃。
一些产品会串联或者并联到网络出口处,结合DDos攻击的特征,对流量进行清洗。
二、应用层DDos:
CC攻击原理:对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务器资源的目的。
如何应对:1、优化服务器性能,将使用频率高的数据放在mamcache中,相对于查询数据库所消耗的资源来说,查询mamcache所消耗的资源可以忽略不计。
2、最常见的措施是针对每个“客户端”做一个请求频率的限制。
3、在网络架构上做好优化,善于利用负载均衡技术,避免用户流量集中在单台服务器上。同时可以充分利用好CDN和镜像站点的分流作用,缓解主站的压力。
4、使用验证码
三、Web Server 配置安全
Apache:Apache的高危漏洞大部分是由它的Module造成的,因此检查Apache安全的第一件事
就是,尽可能地减少不必要地Module,对于要使用地Module则检查其是否有已知的安全漏洞。
为Apache单独建立一个user/group,不要使用root或者admin,危害如下:(1)黑客入侵时,
将直接获得一个高权限(2)应用程序本身具备较高的权限,当出现bug时,可能带来较高的
风险。
Nginx:Nginx的高危漏洞比Apache多,因此多多关注Nginx的漏洞信息,并及时将软件升级到安全
版本,是非常有必要的。与Apache一样,Nginx也应该以单独身份运行。