黑马程序员技术交流社区

标题: 【上海校区】DDos防御 [打印本页]

作者: 陈泽 时间: 2018-4-26 14:55
标题: 【上海校区】DDos防御
本帖最后由上海分校-小影于 2018-5-4 09:33 编辑

一、DDOS的防御的策略：
      防御DDOS攻击是一个整体的系统工程，不能单单依靠某种系统或产品是难以实现的，不过可以肯定的是，DDOS攻击在目前来看，完全杜绝的可能性几乎为零，但通过适当的措施，抵御大多数的DDOS攻击还是可以做到的。不过基于DDOS的攻击和防御都有成本开销的缘故，增大防御力度就意味着增大了DDOS攻击者的成本，那么绝大多数的攻击者将无法继续下去而放弃，就相当于成功抵御了DDOS攻击；
      1. 采用高性能的网络设备
         首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一些流量限制来对抗某些种类的DDOS攻击是非常有效的；
      2. 尽量避免NAT的使用
         无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要网络对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了；
      3. 充足的网络带宽保证
         网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂载1000M的主干上了。但需要注意得是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把他接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务器很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚；
      4. 升级主机服务器硬件
         在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为:p42.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存，若有志强双CPU的话就用它，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或者Intel等名牌的，若Realtek的还是用在自己的PC上；
      5. 把网站做成静态页面
         大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为；
      6. 安装专业抗DDOS防火墙
         国内有一款可全功能免费试用的"冰盾防火墙"，是专门针对DDOS攻击和黑客攻击而设计的专业级防火墙，据测试可有效对抗每秒十万的SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等DDOS攻击，而且可识别2000多种黑客行为的攻击检测模块，能够有效防范端口扫描、SQL注入，木马上传等攻击；下载地址:http://www.bingdun.com;

二、Linux服务器上防御脚本
      1. 可以读取nginx.log日志文件，获取ip访问的次数并进行统计；这个防御DDOS的脚本会给定访问的次数值，当访问次数超过时，会把该ip加入黑名单，并通过另一个定时清理黑名单的ip;
      2. 被封杀的IP也会有日志记录可查；这套脚本需要crontab的支持，1分钟执行一次，检查当前的连接情况并对超过设置的连接进行屏蔽处理。而屏蔽方面则依赖于iptables。如果Linux Server上安装有这两个支持，那么就可以使用我的这个脚本来进行DDOS防御了;
【DDos脚本】