帮助与文档

您的位置  :  

高防cdn如何进行防御部署

文字出处:未知  |  作者:admin  |  发布时间:2021-11-25 09:35

  1.取消域名绑定

  取消域名绑定后Web服务器的CPU能够马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的cc攻击它是无效的,就算更换域名攻击者发现之后,攻击者也会对新域名实施攻击。
 

  2.更改Web端口

  一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,可以修改Web端口达到cc防御的目的。

  3.IIS屏蔽IP

  我们通过命令或在查看日志发现了cc攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。

  4.域名欺骗解析

  如果发现针对域名的cc攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。

  cc攻击如何防御?

  HTTP/cc 攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。当高级攻击者穿透缓存时,清洗设备会截获 HTTP 请求做特殊处理。因为cc攻击通过工具软件发起,而普通用户通过浏览器访问,这其中就会有某些区别。想办法对这二者作出判断,选择性的屏蔽来自机器的流量即可。

  1.使用Session 来执行访问计数器:

  使用Session为每个IP创建页面访问计数器或文件下载计数器,防止用户频繁刷新页面,导致频繁读取数据库或频繁下载文件以生成大量流量。(文件下载不应直接使用下载地址,以便在服务器代码中过滤cc攻击)

  2.限制手段

  对一些负载较高的程序增加前置条件判断,可行的判断方法如下:必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求);必须具有正确的referer(可有效防止嵌入式代码的攻击);禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征);同一session多少秒内只能执行一次。

  3.将网站生成静态页面:

  大量事实证明,尽可能使网站静态不仅可以大大提高防攻击能力,还会给黑客入侵带来很多麻烦。例如新浪,搜狐,网易等门户网站主要是静态页面。如果您不需要动态脚本,则可以将其发送到另一台单独的主机,以便在受到攻击时避开主服务器。

  4.增强操作系统的TCP/IP栈

  作为服务器操作系统,Win2000和Win2003具有一定的抵御ddos攻击的能力。一般默认情况下没有启用。如果启用它们,它们可以承受大约10,000个SYN攻击数据包,具体如何操作可以去微软官方看一下操作方法。

  5.部署高防cdn防御

  cc防御最简单便捷的方法就是通过接入自由互联高防cdn来隐藏服务器源IP,高防cdn可以自动识别恶意攻击流量,对这些虚假流量进行智能清洗,将正常访客流量回源到源服务器IP上,保障源服务器的正常稳定运行。

  6.优化代码

  尽可能使用缓存来存储重复的查询内容,减少重复的数据查询资源开销。减少复杂框架的调用,减少不必要的数据请求和处理逻辑。程序执行中,及时释放资源,比如及时关闭mysql连接,及时关闭memcache连接等,减少空连接消耗。

  7.完善日志

  尽可能完整保留访问日志。日志分析程序,能够尽快判断出异常访问,比如单一ip密集访问;比如特定url同比请求激增。