400-638-8808
|
微信公众号
大公司就不说了,付费CDN,防火墙,大流量,一般也会配置专门的安全问题响应团队。今天天下数据小编侧重讨论一下中小型网站如何(优雅)防范CC攻击。
先说说一般的中小站点安全问题通病:对安全问题不重视,不少iptables都是默认的,主要目标是网站能正常工作,当然也无专门的安全运维人员。(欢迎补充)
然后抛砖引玉,说下前段时间帮朋友网站应对CC攻击时的一些措施,希望各位头脑风暴,看下还有没有更好的应对方案。
在下面方面有难题或还未解决的可以试试软件防火墙市面上有类似产品,我测试过,效果不错!
1.封IP。IP写到防火墙黑名单。
分析访问日志,封异常IP。
个人评价:不优雅,被动,但简单粗暴有一定效果。不过一般现在攻击方都是拉一堆肉鸡和IP池做代理,而且动态IP也是变动的,流量特别大的几个IP封了还好说,所有攻击IP都封掉不现实。而且解封也有点麻烦,需要自己写脚本处理。
2.服务器限流。
(比如使用nginx做反向代理,可以增加设置限流)
limit_conn_zone
limit_req_zone
个人评价:有用,相对优雅,nginx的漏桶算法还是不错的。但是还是容易误杀,需要对网站性能有充分理解再来设置。
3.根据请求特征拒绝访问。
比如User-Agent或者是refer,里面会有一些固定信息,可以作为nginx拦截的依据。作为被动防御还是挺有用的,拦截到疑似请求后nginx直接返回403。
个人评价:基本必备,不过限制UA的时候用得多些,反爬虫比别。当然,现在已经有很多开源变化UA的方法了。对于refer特征一致的请求拦截效果意外的好。
4.请求跳转(转给攻击方)
就是nginx根据请求特征重定向到其它页面。建议别顺手写baidu.com,万一被百度判罚了就麻烦了。可以设置成攻击你的来源,给他打回去。
个人评价:也算优雅,就是返回去的请求并不一定能给攻击方造成压力,不过个人觉得这样的处理压力应该会比直接返回403、404来得大。
5.用CDN带的CC防御功能
个人评价:没用过,不评价。欢迎有用过的朋友反馈下效果。
6.提高网站性能
个人评价:如果是在限流情况下还能被CC攻击搞崩的网站,的确也需要性能自测一波,优化下代码了。
天下数据提供美国高防服务器、香港高防服务器、韩国高防服务器、佛山高防服务器等;高防机房很好的解决各种CC、流量等DDOS攻击,另外还是DDOS高防IP为您的业务保驾护航。详询在线客服!
天下数据手机站 关于天下数据 联系我们 诚聘英才 付款方式 帮助中心 网站备案 解决方案 域名注册 网站地图
天下数据18年专注海外香港服务器、美国服务器、海外云主机、海外vps主机租用托管以及服务器解决方案-做天下最好的IDC服务商
《中华人民共和国增值电信业务经营许可证》 ISP证:粤ICP备07026347号
朗信天下发展有限公司(控股)深圳市朗玥科技有限公司(运营)联合版权
深圳总部:中国.深圳市南山区深圳国际创新谷6栋B座10层 香港总部:香港上環蘇杭街49-51號建安商業大廈7樓
7×24小时服务热线:4006388808香港服务电话:+852 67031102
本网站的域名注册业务代理北京新网数码信息技术有限公司的产品