DDoS攻击、CC攻击的攻击方式和DDoS防御方法

最新推荐文章于 2024-07-26 00:13:17 发布
最新推荐文章于 2024-07-26 00:13:17 发布
阅读量270 收藏
点赞数
文章标签: ddos 网络 服务器 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67757219/article/details/128375764
版权


ddos攻击防御方法:

如果您服务器被大流量攻击,建议买相应带防御服务器进行配置,这样成本就便宜很多。 下面可以选择2个方案进行配置:

1、最简单的使用Iptables的DNAT技术,直接让流量通过高防后,转发到源站;

2、使用nginx的反向代理技术;

方案一优势是配置简单,配置好iptables规则后,不需要管后端源站有多少域名,只需要流量是通过高防统统转发到源站,但缺点是源站无法获取客户的真实IP。

方案二优势是可以获取让源站获取客户真实IP,缺点是源站有多少域名都需要在nginx的反向代理里配置。

当前这2个方案,都得结合DNS技术,需要把高防的IP解析到域名,一般高防多节点会给你2个IP,一个是电信,一个是联通,所以你需要在DNS里解析这2个IP,我使用DNSPOD,所以你可以参考下面

在"线路类型"这里,默认与电信线路都解析到高防的电信里,联通就解析到联通里,TTL时间最好能短一些,如果有问题可以快速切换,但由于我这个是免费dnspod,所以只能是600秒了。

另外如果想使用高防,你源站IP也需要先切换到一个新的IP,因为旧的已经暴漏,如果不换IP,可能导致对方直接攻击你源站,并且切换到新IP后,80端口也只允许高防IP获取数据。

下面介绍如果使用iptables的dnat与nginx反向代理。

1、IPTABLE的DNAT

A、需要先配置转发功能

sysctl -w net.ipv4.ip_forward=1

B、配置iptables

*nat
:PREROUTING ACCEPT [9:496]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP
COMMIT
# Generated by iptables-save v1.4.7 on Wed Feb 22 11:49:17 2017
*filter
:INPUT DROP [79:4799]
:FORWARD ACCEPT [37:2232]
:OUTPUT ACCEPT [150:21620]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,10050 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
COMMIT

针对上面高防电信IP、高防联通IP、源站IP、源站web端口、公司机房网段进行修改。

完成后重启iptables就可以生效(dnspod的配置别忘记),源站不需要修改任何配置。

2、Nginx的反向代理

A、安装

yum或编译都行,但如果想让源站获取真实用户IP需要新增模块(高防与源站都需要有此模块)

--with-http_realip_module

这个模板默认yum安装是已存在,如果不知道自己有哪些模块可以使用下面命令查看

nginx -V

B、在高防的nginx的里配置

upstream web {
server xxx.xxx.xxx.xxx:80;
}
server {
listen 80;
server_name notice1.ops.xxx.xxx;
client_max_body_size 10M;
proxy_read_timeout 30;
access_log /var/log/nginx/access_notice.log;
error_log /var/log/nginx/error_notice.log;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
proxy_headers_hash_max_size 51200;
proxy_headers_hash_bucket_size 6400;
proxy_pass http://web;
}
}

需要修改upstream web里的server源站ip与端口,以及server_name那里的域名。

最后你需要在iptables里开通本机80允许公网访问。

C、在源站的nginx里配置

server {
listen 80;
server_name notice1.ops.xxx.xxx;
index index.html index.htm index.php;
root /var/www/html/;
access_log /var/log/nginx/notice-access.log;
error_log /var/log/nginx/notice-error.log;
error_page 502 = /502.html;
location ~ .*\.(php|php5)?$ {
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
set_real_ip_from xxx.xxx.xxx.xxx;
real_ip_header X-Real-IP;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|mp3)$ {
expires 30d;
}
location ~ .*\.(js|css)?$ {
expires 12h;
}
}

主要需要修改的是server_name与set_real_ip_from,后者是需要填写高防的IP。

完成后重启nginx,并且在iptables防火墙里设置只允许高防IP访问自己本地80.

另外如果你有多个域名,就写多个虚拟主机配置文件就好。

CC攻击防御方法

1. 利用Session做访问计数器:利用Session针对每个IP做页面访问计数器或文件下载计数器,防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。(文件下载不要直接使用下载地址,才能在服务端代码中做CC攻击的过滤处理)

2. 把网站做成静态页面:大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给骇客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器。

3. 在存在多站的服务器上,严格限制每一个站允许的IP连接数和CPU使用时间:这是一个很有效的方法。CC的防御要从代码做起,其实一个好的页面代码都应该注意这些东西,还有SQL注入,不光是一个入侵工具,更是一个DDOS缺口,大家都应该在代码中注意。举个例子吧,某服务器,开动了5000线的CC攻击,没有一点反应,因为它所有的访问数据库请求都必须一个随机参数在Session里面,全是静态页面,没有效果。突然发现它有一个请求会和外面的服务器联系获得,需要较长的时间,而且没有什么认证,开800线攻击,服务器马上满负荷了。代码层的防御需要从点点滴滴做起,一个脚本代码的错误,可能带来的是整个站的影响,甚至是整个服务器的影响!

4. 服务器前端加CDN中转,如果资金充裕的话,可以购高防服务器,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。

另外,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。

总之,只要服务器的真实IP不泄露,10G以下小流量DDoS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏

小蚁网络安全(胡歌)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
「弱不禁风」的图神经网络
weixin_45519842的博客
03-15 220
上一节讲到GNN的第一个局限是无法有效的区分某些图结构结构.CS224W 18.1-Limitations of Graph Neural Network本节就延续来讲GNN的第二个局...
浅谈 DDoS 攻击防御
GJ_ia的博客
02-09 349
DDoS 是英文 Distributed Denial of Service 的缩写,中文译作分布式拒绝服务。那什么又是拒绝服务(Denial of Service)呢?凡是能导致合法用户不能够正常访问网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施,攻击网络包就会从很多 DoS 攻击源犹如洪水般涌向受害主机。从而把合法用户的网络请求淹没,导致合法用户无法正常访问服务器的网络资源。
如何防御DDOS等流量攻击
weixin_34419326的博客
04-28 249
2019独角兽企业重金招聘Python工程师标准>>> ...
最新DDoS/CC攻击网络安全学习教程文章【带程序】
wostianm的博客
10-03 358
这款软件名为ares,可以用来DDoS,在TG中被很多大佬使用,他采用的发包用的是汇编语言编写,目前已做到兼容所有linux系统,包括windows,主控端有linux版和win帮,隐藏进程,防k等,有api,攻击模式有TCP,UDP,CC,具体可以看图片,因为这个是最终版本,拥有的人也不是很多,所以将进行收费,有使用教程。这个工具是目前我认为比较好用的,他带api,各位可以用他来对自己的网站进行安全测试,这个工具是带教程的。6.对于因使用本文提供的信息和工具而导致的任何后果,作者和网站概不负责。
DDoS防御
maxiaoqiang1的专栏
07-01 417
DDoS防御:  DDoS攻击是黑客常用的攻击手段,目前网络安全界对于DDoS的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果,DDos攻击只能被减弱,无法被彻底消除。1、 定期扫描要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较
如何判断服务器是否被CC攻击了,被CC了要如何防御
qq_39885150的博客
12-05 759
CC攻击可以归为DDoS攻击的一种。4.可以接入相应的高防产品,提升配置,屏蔽拉黑IP,修改端口并不能有效处理CC攻击的问题,因为我们不能一直去操作修改端口,屏蔽拉黑IP,时间成本太高。1.升级服务器本身的硬件水准,资金允许的情况下,这是最简单的一种方法,这个方法并不是针对CC攻击的,而是提升服务本身处理并发的能力,但确实提升了对CC攻击的承载能力。2.屏蔽IP,可以通过命令或查看日志查看攻击的源IP,在防火墙中设置屏蔽该IP对Web站点的访问,从而达到防范攻击的目的。
Nginx防御DDOS攻击的配置方法教程
09-30
Nginx作为一款高效轻量级的Web服务器,由于其内存占用少且并发能力强的特点,被广泛...然而,需要注意的是,完整的DDoS防御策略通常还需要结合防火墙、CDN服务、流量清洗设备等多层防御措施,以确保服务器的安全性。
DDoS攻击CC攻击攻击方式和防御方法
12-11
DDoS 是英文 Distributed Denial of Service 的缩写,意即“分布式拒绝服务”
配置Nginx实现简单防御cc攻击
01-11
cc攻击:类似于ddos攻击,不过它的特点是主要是发起大量页面请求,所以流量不大,但是却能导致页面访问不了。 使用Nginx的配置对cc攻击进行简单防御 =============================================================...
网站防被cc攻击系统PHP源码
08-27
网站防被CC攻击系统是针对分布式拒绝服务(DDoS攻击中的一种特殊类型——Challenge Collapsar(CC攻击而设计的。CC攻击主要通过模拟大量合法用户的行为,占用服务器资源,导致正常用户无法访问。PHP源码实现的防...
CC攻击原理及有效防范方法10分钟讲清楚版.docx
08-25
【防范CC攻击方法】 1. 优化Web应用:修复代码中的安全漏洞,减少不必要的资源消耗,如限制同一IP的并发连接数,优化数据库查询等。 2. 使用防火墙:配置防火墙规则,过滤异常的HTTP请求,限制特定IP的访问速率。...
NGINX防御CC攻击教程
weixin_30786617的博客
06-26 283
CC攻击即http flood,以攻击成本低(只需数台http代理服务器即可实现攻击)、隐蔽性强(中小CC攻击一般不会造成网络瓶颈)、难防御(与正常访问的请求很难区分开)、威力强大(造成和DDOS流量攻击一样的效果,网站长时间无法打开)等特点著称。常规的http flood防御为JS弹回,二次请求验证加入白名单 和 多层缓存(七层、四层共同缓存)实现防御体。CC攻击,首先造成的后果...
cc攻击的一个小方法: nginx 限制 外挂用户的 CC访问
chhnang2016的博客
02-22 458
问题: 业务经常收到外挂用户的访问 ---- cc攻击 解决方法: 使用nginx 的limit_req_zone 限制ip访问, 参数如下: http { limit_req_zone $binary_remote_addr zone=reqperip:10m rate=5000r/s; #参数越小拦截效果越明显 limit_req_zone $server_n...
服务器网站被cc攻击,网站被CC攻击怎么办?宝塔防火墙防CC设置详解
weixin_39627361的博客
08-04 2254
网站被cc攻击怎么办?如果是安装了BT宝塔面板的话,可以利用其防火墙进行防CC攻击设置,至少能有效抵挡一波。接下来小编就分享一下BT宝塔防火墙防CC设置详解图文教程。之前也介绍了BT宝塔面板的安全设置等文章,如下:一、防御CC的简介首先要在BT宝塔后台安装Nginx防火墙,企业插件里的Nginx防火墙,进行安装还没安装BT宝塔面板?宝塔服务器面板,一键全能部署及管理,送你3188元礼包,然后进行防...
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
云博客_资源宝分享
02-13 9663
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
nginx防御DDOS攻击
yihuliunian的博客
08-14 436
转载自品略图书馆http://www.pinlue.com/article/2019/12/2516/199857737228.html 防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_r..
Nginx简单防御CC攻击
收集盒 Book box
12-31 808
Nginx是一款轻量级的Web服务器,由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引Rambler使用。 其特点是占有内存少,并发能力强,事实上Nginx的并发能力确实在同类型的网站服务器中表现较好。 Nginx虽然可以比Apache处理更大的连接数,但是HTTP GET FLOOD针对的不仅仅是WEB服务器,还有数据库服务器。大量HTTP请求产生了大量的数据
速盾:分享一些防御 DDoS 攻击的措施
最新发布
zhuguowang01的博客
07-26 365
通过监测和分析流量,增加网络带宽和资源,加强网络设备的安全设置,使用专用的负载均衡器,采用高可用性架构,使用CDN等措施,可以有效地应对DDoS攻击DDoS(分布式拒绝服务)攻击是指攻击者通过操纵大量的计算机或网络设备,向特定的目标发起大规模的网络流量,以消耗目标网络资源,造成网络服务不可用的攻击行为。加强防火墙和网络设备的安全设置:通过配置和更新防火墙、路由器和交换机等网络设备的安全设置,可以过滤和阻止源自攻击者的流量。通过了解正常的流量模式,可以更容易地检测到异常流量,并采取相应的措施。
DDoS攻击防御策略详解
防御DDoS攻击包括提升IP防御值和增加备用IP等方法,同时针对CC攻击需要采用特定的防御策略。" 网络安全是一个至关重要的领域,尤其是在数字化日益普及的今天。DDoS(Distributed Denial of Service,分布式拒绝服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值