DDoS攻击服务器最佳解决方案是什么?

日期:2021-05-15 / 人气: / 来源:未知

DDoS攻击,又叫分布式拒绝服务攻击,指借助于客户/服务器​技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的 特点是分布式,针对带宽和服务攻击,也就是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还 是可以做一些配置来防御的,例如前端是Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御。 ngx_http_limit_conn_module 可以限制单个IP的连接数,ngx_http_limit_req_module 可以限制单个IP每秒请求数,通过限制连接数和请求数能相对有效的防御CC攻击。
 
如果遭遇DDOS攻击该如何应对,或者如何预防?
 
1、大数据智能分析
黑客为了构造大量的数据流,往往需要通过特定的工具来构造请求数据,这些数据包不具有正常用户的一些行为和特征。为了对抗这种攻击,可以基于对海量数据进行分析,进而对合法用户进行模型化,并利用这些指纹特征,如:Http模型特征、数据来源、请求源等,有效地对请求源进行白名单过滤,从而实现对DDoS流量的精确清洗。
 
2、使用高防服务器
这个可能是比较简便的方式,一般现在IDC服务商都提供高防服务器来帮助企业抵御各式各样的流量攻击,它的原理也是非常简单,就是给服务器增加了一个防护层,面对攻击的时候能够抵挡住攻击。一般来说,高防服务器都至少能够抵挡五十G以上的攻击,并且还能定期扫描节点,是非常好的防护手段。
 
3、资源隔离
可以看作是用户服务的一堵防护盾,这套防护系统拥有无比强大的数据和流量处理能力,为用户过滤异常的流量和请求。如:针对Syn Flood,防护盾会响应Syn Cookie或Syn Reset认证,通过对数据源的认证,过滤伪造源数据包或发功攻击的攻击,保护服务端不受恶意连接的侵蚀。资源隔离系统主要针对ISO模型的第三层和第四层进行防护。

作者:上海苏越网络


Go To Top 回顶部