前言:
不管你网站有多牛逼DDOS攻击,拿下你跟闹着玩似得,最近“老王”各种攻击阿里云,17G防御秒破。今天fangker就跟大家谈谈什么是DDOS,怎么防御DDOS攻击。想起多年前中美hack大战,中国成功“黑了”美国白宫网站,用的就是DDOS(又称无赖式-拒绝服务攻击)。它本身不会对网站信息造成什么改变和破坏,而是故意消耗服务器资源,让服务器崩溃,使正常用户无法访问你的网站。
DDOS攻击原理:
三种攻击模式: 1.SYN/ACK Flood攻击 2、TCP全连接攻击 3、刷Script脚本攻击
以上三种攻击模式原理都相同:折腾掉CPU,使服务器处理能力崩溃。或者流量挤兑式攻击,入口带宽被大量无用数据包占用,使正常入口信息被忽略。
一般来说,一个正常的1G 内存,1M口,几个僵尸电脑 100个线程就能打死,像正常的DDOS攻击者来说他们掌握的僵尸PC少则千台,多则上万,百万。所以说,打你跟玩似得不是没道理。
DDOS防御:
1.对于消耗CPU资源的防御方式:最好的办法就是升级服务器性能,其次屏蔽代理脚本,使用静态的HTML页面,尽量避免NAT的使用,因为NTT转接会在多个物理机直接产生大量数据处理。
2.消耗流量防御方式:使用硬件DDOS防火墙(价格很高,至少四五十万吧),自动过滤可疑流量访问,一旦遇到大量未知攻击 结果可能两个: 防火墙挂掉 ,或者带宽口消耗完毕,主机应该不会受直接cpu损耗和内网传输堵塞。 机房一般配置硬件防火墙。 注意:防火墙的异常流量清洗率95%以上(未崩溃前)。是有效果的。
通用方法:
软件防御,收集攻击者的IP,一般是半小时左右,然后在防火墙屏蔽访问,或者在前端路由屏蔽。没有硬件防火墙的vps,也可以用收集的方式屏蔽小量DDOS攻击。常用的软防有:网站安全狗。
DDOS的未来:
如果说,DDOS真的那么厉害没法治了么?答案是对于大量掌握肉鸡的DDOS攻击者来说,没有挂不掉网站服务器,就算你托管到机房有硬件防火墙,它也可以使用入口带宽耗尽这种让整个机房崩溃的方式干死你。 SO.最好的办法是打电话给警察叔叔(由于天朝警察的效率灰常低)大概是抓不到人的。这就是机房决绝垃圾站进入的原因。有些带高防的机房也是有限度的,如果你被大量DDOS总会被请出来。
完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDoS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,hack可能会停止攻击,你最好是祈祷,因为一个真正的hack的DDOS攻击可以秒掉阿里机房,IBM秒不了(土豪机房)。
