近墨則黑
相信不少站長或多或少都經歷過DDoS攻擊(DDoS攻擊是通過大量合法的請求佔用大量網絡資源,以達到癱瘓網絡的目的),一旦你的網站被人DDoS攻擊後,網站就會無法被訪問了,嚴重時服務器都能卡死。
如果網站遇到DDoS攻擊時,該如何解決呢?相信大家都知道,要靠防火牆(防火牆是位於內網和外網之間的屏障隔離技術)來處理一部分攻擊流量。 這是不是就說明防火牆可以防禦DDoS呢?其實沒有這麼簡單。
首先我要說的是,不是有所防火牆都可以有效抵禦DDoS攻擊。DDoS攻擊和其它攻擊不同,它本身也算是一種合法的網絡請求!
防火牆種類很多,主要有:軟件防火牆(軟防)、硬件防火牆。這兩類防火牆在對待DDoS時的表現也不同。
1、軟件防火牆(軟防)
我們一般用戶都接觸過軟件防火牆,像Windows上的“防火牆”、Linux上的“iptables”等。它們以軟件的形式時刻檢查系統上的所有數據包,然後決定放行哪些數據包或者攔截哪些數據包。
軟防在應對小流量DDoS時,可以搞得住。但一旦遇到大流量的DDoS,軟防是抗不住的,可以把系統資源消耗盡,服務器直接卡死。
從成本上說,軟防成本很低。
2、硬件防火牆(硬防)
和防軟不同,硬防是把防火牆程序做到硬件芯片中,由單獨的硬件執行防護功能,減少了CPU的負擔,性能上比軟防高出很多,當然了,成本也比軟防高得多。
綜上,不管是軟防還是硬防,其原理上都差不多;但是軟防是基於系統的,硬防是基於硬件的。在面對稍大的DDoS時,軟防基本上是無能為力的,而硬防也不是能抗得住所有的DDoS,不同配置的硬防能承受的DDoS流量不同。假設硬防只能抗住1G的流量,而你的網站受到了2G的DDoS流量,硬防也是白搭!
最後,結合我近10年的從業經驗,將一些經驗分享給大家,儘可能減少網站被DDoS的可能,主要措施有:
禁用服務器的ICMP響應,這樣別人無法通過Ping來判斷你的服務器IP是否存活;
網站啟用CDN來隱藏後端服務器的真實IP,CDN本身也帶有一定的抗洪能力;
一旦受到DDoS時,將域名解析至 127.0.0.1 ,你懂的 ~
我是科技領域創作者,十年互聯網從業經驗,歡迎關注我瞭解更多科技知識!如果大家有不同看法,歡迎在下方評論區發表自己的觀點 ~
網絡圈
當我們發現網站服務器被攻擊的時候不要過度驚慌失措,先查看一下服務器是不是被黑了,找出網站存在的黑鏈,然後做好網站的安全防禦,開啟IP禁PING,可以防止被掃描,關閉不需要的端口。這些是隻能防簡單的攻擊,對於大流量DDOS攻擊,必須要有足夠的帶寬和防火牆配合起來才能防禦,你的防禦能力大於攻擊者的攻擊流量那就防住了。不過單獨硬防的成本挺高的,企業如果對成本控制有要求的話可以選擇墨者.安全的集群防護,防禦能力是很不錯的,成本也比阿里雲網易雲這些大牌低。
墨者安全
給服務器加了防火牆只能防住小流量,真正的大流量洪水DDOS來襲,防火牆會馬上耗盡系統資源,什麼防火牆都頂不住的,而且大部分DDOS都是模擬真實用戶數據,防火牆都不一定檢測的到,所以想要保障網絡安全,還是接入高防更靠譜,像墨者/安全高防可以抗1000G以上流量,國內DDOS一般最多幾十到幾百G左右吧
