問(wèn)答專(zhuān)欄Q & A COLUMN
我們知道,服務(wù)器對(duì)外提供服務(wù),基本上都是放置在公網(wǎng)上的。所以說(shuō)服務(wù)器放置在公網(wǎng)上會(huì)面臨很多攻擊,如果不做好必要的防護(hù)措施,服務(wù)器被人攻擊只是時(shí)間上的問(wèn)題。
而我們面臨的眾多攻擊中,DDoS攻擊是最常見(jiàn)同時(shí)也是影響較大的攻擊。DDoS是分布式拒絕服務(wù)攻擊,發(fā)起攻擊者會(huì)將很多臺(tái)電腦聯(lián)在一起對(duì)同一臺(tái)服務(wù)器進(jìn)行請(qǐng)求。因?yàn)槊恳慌_(tái)服務(wù)器其實(shí)都是有資源、寬帶和計(jì)算上的瓶頸的,特別是一些帶寬小、內(nèi)存小、CPU計(jì)算能力低的服務(wù)器在面臨較多請(qǐng)求時(shí),服務(wù)器負(fù)載瞬間上漲、帶寬被占滿(mǎn),導(dǎo)致其它服務(wù)器無(wú)法處理其它合法用戶(hù)的正常請(qǐng)求。
從本質(zhì)上說(shuō),DDoS帶來(lái)的請(qǐng)求也是正常請(qǐng)求,所以DDoS防護(hù)較難。但是,如果我們把服務(wù)器的真實(shí)IP隱藏起來(lái),那可以很大程度減小DDoS攻擊的可能。
有哪些手段可以隱藏服務(wù)器真實(shí)的IP呢,我覺(jué)得主要有以下幾種方案:
1、禁用服務(wù)器ICMP回顯響應(yīng)
互聯(lián)網(wǎng)上的服務(wù)器眾多,一般情況下我們?cè)诠W(wǎng)上的服務(wù)器被人發(fā)現(xiàn)是要一段時(shí)間的,攻擊者會(huì)通過(guò)IP段來(lái)掃描存活的機(jī)器,一旦掃描到某個(gè)IP時(shí)有回顯,說(shuō)明此IP是存活的,就會(huì)被攻擊者記錄下來(lái),所以我們要關(guān)閉回顯功能,這樣別人掃描時(shí)服務(wù)器沒(méi)有響應(yīng),可以避免被人發(fā)現(xiàn)。
不管是Windows Server還是Linux都可以通過(guò)防火墻來(lái)關(guān)閉ICMP回顯功能。
* Windows Server 操作方法:
控制面板 》查看方式“大圖標(biāo)”》Windows 防火墻 》左側(cè)“高級(jí)設(shè)置”》入站規(guī)則 》找到“文件和打印機(jī)共享(回顯請(qǐng)求-ICMPv4-In)”和“文件和打印機(jī)共享(回顯請(qǐng)求-ICMPv6-In)”雙擊,然后選中“已啟用”和“阻止連接”,如下圖示:
* Linux服務(wù)器操作方法:
# vi /etc/sysconfig/iptables
添加幾條規(guī)則,如下圖示:
2、利用CDN隱藏源站真實(shí)IP
CDN本來(lái)是內(nèi)容分發(fā)用的,主要用來(lái)做資源加速的,但是CDN本身上也算是一種代理服務(wù)器,所以可以隱藏源站的IP。另外CDN節(jié)點(diǎn)都帶有一定的防護(hù)功能,所以DDoS攻擊時(shí),CDN可以幫我們分擔(dān)很多的流量,這樣對(duì)于源站影響就較小了。
3、使用高防IP
通過(guò)主防IP轉(zhuǎn)發(fā),這樣就能隱藏源服真實(shí)IP。
以上就是隱藏服務(wù)器真實(shí)IP的主流方案,大家如果有更好見(jiàn)解歡迎在下方評(píng)論區(qū)互動(dòng)哦 ~ 我是科技領(lǐng)域創(chuàng)作者,十年互聯(lián)網(wǎng)從業(yè)經(jīng)驗(yàn),歡迎關(guān)注我了解更多科技知識(shí)!
評(píng)論0
加載中...
實(shí)際上隱藏真實(shí)服務(wù)器地址也是阻擋不了ddos,ddos攻擊也是正常請(qǐng)求訪(fǎng)問(wèn)服務(wù)器,只是訪(fǎng)問(wèn)量比較大導(dǎo)致系統(tǒng)壓力暴增,嚴(yán)重導(dǎo)致宕機(jī),實(shí)際生產(chǎn)環(huán)境項(xiàng)目部署都會(huì)使用nginx等反向代理服務(wù)器做負(fù)載均衡,也就是說(shuō)客戶(hù)訪(fǎng)問(wèn)的是負(fù)載均衡服務(wù)器的ip而不是真實(shí)的服務(wù)器ip,即nginx隱藏真實(shí)服務(wù)器ip。防御ddos的方法有很多種,常見(jiàn)的有ip限流,例如:監(jiān)控ip請(qǐng)求訪(fǎng)問(wèn)量,若訪(fǎng)問(wèn)暴增超過(guò)指定閾值,可限制該IP訪(fǎng)問(wèn),拉入訪(fǎng)問(wèn)黑名單,并進(jìn)行相關(guān)提示,黑名單可按業(yè)務(wù)設(shè)定有效期解禁。限制措施還可以是驗(yàn)證碼。例如訪(fǎng)問(wèn)量比較大的接口可通過(guò)短信,圖形驗(yàn)證碼等形式格擋,可減少接口的并發(fā)訪(fǎng)問(wèn)量,最常見(jiàn)的例如12306的{{BANNED}}驗(yàn)證碼,可緩解登錄、提交訂單相關(guān)接口的訪(fǎng)問(wèn)壓力
評(píng)論0
加載中...
現(xiàn)在這個(gè)互聯(lián)網(wǎng)環(huán)境很難保證自己不會(huì)被DDOS攻擊,為了保證服務(wù)器的正常穩(wěn)定運(yùn)行,隱藏服務(wù)器真實(shí)IP是個(gè)不錯(cuò)的方法,這可以讓攻擊者找不到攻擊目標(biāo),從而有效地保護(hù)網(wǎng)站的安全。現(xiàn)在天下數(shù)據(jù)IDC就給大家分享一下如何通過(guò)隱藏服務(wù)器真實(shí)IP來(lái)防御DDOS攻擊? 1、使用高防IP服務(wù)高防IP服務(wù)的原理:通過(guò)利用兩臺(tái)高硬防的單線(xiàn)服務(wù)器作為端口映射到雙線(xiàn)服務(wù)器的兩個(gè)IP,將虛設(shè)的IP映射在真實(shí)IP的主機(jī)上,這樣就能夠首先避免被直接威脅的絕對(duì)目標(biāo),這樣也讓攻擊者無(wú)法正確的找到雙線(xiàn)服務(wù)器的真實(shí)IP,并且單線(xiàn)的硬防也更高。簡(jiǎn)單的說(shuō)就是把真實(shí)IP隱蔽,將虛設(shè)IP映射到真實(shí)IP上,這樣對(duì)DDoS的威脅進(jìn)行絕對(duì)的防御。進(jìn)行虛設(shè)IP映射的處理,是沒(méi)有遠(yuǎn)程登陸的權(quán)限。 2、使用CDN技術(shù)簡(jiǎn)單的來(lái)說(shuō),內(nèi)容發(fā)布網(wǎng)(CDN)是一個(gè)經(jīng)策略性部署的整體系統(tǒng),其包括四個(gè)重要部分,分別是分布式存儲(chǔ)、負(fù)載均衡、網(wǎng)絡(luò)請(qǐng)求的重定向和內(nèi)容管理。其中內(nèi)容管理和全局的網(wǎng)絡(luò)流量管理是CDN技術(shù)的核心所在。通過(guò)對(duì)用戶(hù)的就近性以及服務(wù)器負(fù)載的判斷,CDN能夠保障內(nèi)容是以一種極為高效的形式為用戶(hù)提供服務(wù)。使用CDN技術(shù)隱藏真實(shí)IP也是有所不足的,在服務(wù)器上發(fā)布的內(nèi)容無(wú)法及時(shí)的進(jìn)行更新,CDN是存在地區(qū)限制的。例如只是做了國(guó)內(nèi)的CDN,而沒(méi)有做海外的CDN,這樣攻擊者使用美國(guó)服務(wù)器的IP,在使用ICMP工具ping 的域名或其它地址那么你的服務(wù)器真實(shí)IP真實(shí)就出現(xiàn)在攻擊者面前了。 3、使用域名導(dǎo)向
該技術(shù)是相對(duì)較新的,與其他的方法都是有相同點(diǎn)的。其與URL的隱藏轉(zhuǎn)發(fā)是有相同點(diǎn)的(但url隱性轉(zhuǎn)發(fā)已經(jīng)被國(guó)家禁止了);和CDN技術(shù)的相同點(diǎn)就是將服務(wù)器的IP進(jìn)行隱藏等。另外,為了防止服務(wù)器的IP被傳送信息泄露,還可以選擇不使用服務(wù)器發(fā)送郵件的功能,若必須要進(jìn)行郵件發(fā)送,可以選擇使用第三方的代理發(fā)送,這樣對(duì)外顯示的IP也就是代理的IP,不是服務(wù)器的IP就不會(huì)出現(xiàn)泄露。
評(píng)論0
加載中...
能安排上的通通安排上,做好規(guī)范和管理制度。做到可用性99.99%還是沒(méi)啥問(wèn)題的!如果發(fā)生不可抗因素的話(huà),就沒(méi)啥辦法了一定要做災(zāi)備。
評(píng)論0
加載中...
當(dāng)然是用cdn了,當(dāng)然要用靠譜的,再分享一個(gè)技巧,本地調(diào)試好需要上線(xiàn)時(shí),先把CDN準(zhǔn)備好,直接解析到CDN,這樣可以避免暴露源IP,遭到追溯解析記錄。至于DDOS或CC攻擊,就需要專(zhuān)業(yè)的抗DDOS的企業(yè),如果是備案域名用百度或360的就可以。免費(fèi)的。未備案域名首選就是CF了。Cloudflare功能強(qiáng)大,支持證書(shū),唯一就是不支持泛域名解析。再有就是直接選擇OVH的主機(jī),號(hào)稱(chēng)不死高防。前段時(shí)間黑五和雙十一優(yōu)惠力度都很大。最優(yōu)惠的美國(guó)節(jié)點(diǎn)機(jī)器,一個(gè)月不到3刀。
評(píng)論0
加載中...
6
回答0
回答0
回答4
回答5
回答2
回答0
回答0
回答0
回答0
回答
