浅谈ddos防御

《浅谈ddos防御》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、IDC攻击的常见缓解办法最常见的攻出主要是攻出webserver，也就是攻出域名。常见的处理办法有：1：机房硬件防火墙的防御能力要强，高防御机房。2：选用硬件质景好，配置高（配置高、带宽高）的服务器，优化操作系统配置提高系统的健壮性和并发能力。3：服务器上安装商用的流量攻i•防御软件。4：服务器采用多个ip,站点的域名做DnsPod智能解析，一个域名解析到多个ip上，封了其中一个ip，域名解析动切换，不影响使川。5:使用第三方安全防御公司的防御节点（可以免费使用，付赀防御效果更佳）。比如使用“百度云加速”或“360网站卫士的高防DNS”。今天通过一个实例解说一个

2、常见的缓解攻击办法，构逑商防御节点来缓解DD0S攻击。实例描述客户网站8074.com放在115.231.12.155上，被大流量DD0S攻击了，根据机房那边的管理规定，30分钟才能给解封。客户是做游戏的，还有一台游戏服务器115.231.12.238（运行游戏软件），除了游戏软件外115.231.12.238上还运行着网站的数据库。客户的这个情况是站库分离，站库分离可以减轻单台服务器的负载，当站点被攻击了，荇有令闲服务器的话，可以快速恢复站点访问，缓解攻击带來伤害。实例解说1：广东高防御服务器1台（新上服务器，单机防御大，防御级别高）2：浙江电信服务器115.

3、231.12.155（防御级別比较弱的服务器，UI前客户正在使用）我们这样：把广尔高防服务器搞成反向代理服务器，带www和不带www的域名8074.com都解析到广尔菇防御这个服务器上。广东商防御服务器不放网站程序数亂只用作反叫代理，作为前端机。115.231.12.155服务器再添加一个ip（如115.231.12.159）用作后端机。115.231.12.155上放站点程序数据，且在115.231.12.155服务器上创建两个web站点，ip加端口号那种（不要启用80）。例如115.231.12.155:88、115.231.12.159:99两个站点程序路

4、径都指向同一个（目录）位置。在广东高防御服务器上安装nginx做反昀代理&&负载均衡配置。广东高防服务器nginx核心配置如下：播好搏行授worker.connections1024;E用f2疼胃SWw—部分策一章EN咖xgjSjWllofttt均籥霸｝S两(2)项目《ae具的9仲it力(2)项目轻inr三心二意*(2)项目ViV松董蔫華顷目祝划(1)http{indudemime.types;default.typ^application/octet>stream:sendfileon:keepalive.tlmeout65;8074webupstream{«

5、ip_ha$h;儀"suserver115.231.12.155:88■抄a.“編sor.server115.231.12.159:99>server{listen80;server.name-2ilocatioo/<将2改成www.8074.com8074.comA中间有一个空格««H主机头扣5户MW;地Jib以侵*秀»萩《5户SUI5UPproxy.set.headerHostShort;proxy.set.headerx-Real-IPSremote.addr;proxy.set.headerx-Forwarded-For$proxy_add_x_forw

6、arded.for;•W用缳存proxy^bufferinQoff:箧g向代9的地址proxv.passMtp://bert，eMfc»8074iveb优点分析1：不用跨IDC机房，不用进行数裾实时同少(数裾实时同少是个麻烦事)，实施起来简单。2：不川做DnsPod智能解析了，直接把域名解析到(广东)高防御节点服务器上。2：被攻击的网站域名解析到了广东高防服务器上去了，增加了抗攻击的能力，防御能力弱的浙江电信服务器(115.231.12.155)作为源站放到了P端隐藏起来了，可隐藏真实ip,启到保护能力。3：有负载均衡的能力：浙江电信服务器用两个ip來做同一机器

7、的负载均衡，当115.231.12.155封的话，反向代理服务器会自动实时切挽到115.231.12.159上，可以让站点的访问不中断。缺点分析由于广东商防服务器只有一台，是单节点的。当黑客攻击流量超出了这个广东窈防服务器的防御级别，M站访问不了了。若舍得投资的话，可以上多台广东髙防御服务器作为前端防御节点服务器，做好配置，构成一个防御平台，打挂一个前端防御节点，会智能切换到另外一个防御上去，这样会保证网站的高可用性。