我們知道忠烛,服務(wù)器對外提供服務(wù),基本上都放置在公網(wǎng)上的寂汇。所以說服務(wù)器放置在公網(wǎng)上會面臨許多攻擊病往,如果不做好必要的防護措施,服務(wù)器被攻擊只是時間上的問題骄瓣。
而面臨的眾多攻擊中停巷,DDos攻擊是最常見的同時也是影響較大的攻擊。DDos是分布式拒絕服務(wù)攻擊榕栏,發(fā)起攻擊者會將許多臺電腦連在一起對同一臺服務(wù)器進行請求畔勤。因為每一臺服務(wù)器其實都是有資源,帶寬和計算瓶頸的扒磁,特別是一些帶寬小庆揪,內(nèi)存小,CPU計算能力低的服務(wù)器在面臨較多請求時妨托,服務(wù)器負載瞬間上漲缸榛,帶寬被占滿,導(dǎo)致其他服務(wù)器無法處理其他合法用戶的正常請求兰伤。
從本質(zhì)上說内颗,DDos帶來的請求也是正常的請求,所以DDos防護較為困難敦腔。但是均澳,如果我們把真實服務(wù)器的IP隱藏起來,那就可以很大程度減小DDOS攻擊的可能性。
有哪些手段可以隱藏真實服務(wù)器的IP呢找前,我覺得主要有以下幾種方案:
1.禁用服務(wù)器ICMP回顯響應(yīng)
互聯(lián)網(wǎng)上的服務(wù)器眾多筒捺,一般情況下我們在公網(wǎng)上的服務(wù)器要被人發(fā)現(xiàn)是要一段時間的,攻擊者會通過IP段來掃描存活的機器纸厉,一旦掃描到某個IP有回顯系吭,說明此IP是存活的,就會被攻擊者記錄下來颗品,所以我們要關(guān)閉回顯功能峡竣,這樣別人掃描服務(wù)器沒有響應(yīng),可以避免被人發(fā)現(xiàn)谜悟。
不管是Windows還是Linux都可以通過防火墻來關(guān)閉ICMP回顯功能
*Windows server的操作方法
控制面板》查看方式大圖標》window防火墻》左側(cè) ‘高級設(shè)置 ’》入站規(guī)則》找到“文件和打印機共享(回顯請求ICMP-in)”和文件打印機共享(回顯請求-ICMPv6-in)雙擊選中“已啟用”和“阻止鏈接”
如下圖所示
*Linux系統(tǒng)則需要打出如下指令
2.也可以通過如下方法
實際上隱藏真實服務(wù)器地址也是阻擋不了ddos司忱,ddos攻擊也是正常請求訪問服務(wù)器,只是訪問量比較大導(dǎo)致系統(tǒng)壓力暴增锄蹂,嚴重導(dǎo)致宕機氓仲,實際生產(chǎn)環(huán)境項目部署都會使用nginx等反向代理服務(wù)器做負載均衡,也就是說客戶訪問的是負載均衡服務(wù)器的ip而不是真實的服務(wù)器ip得糜,即nginx隱藏真實服務(wù)器ip敬扛。防御ddos的方法有很多種,常見的有ip限流朝抖,例如:監(jiān)控ip請求訪問量啥箭,若訪問暴增超過指定閾值,可限制該IP訪問治宣,拉入訪問黑名單急侥,并進行相關(guān)提示,黑名單可按業(yè)務(wù)設(shè)定有效期解禁侮邀。限制措施還可以是驗證碼坏怪。例如訪問量比較大的接口可通過短信,圖形驗證碼等形式格擋绊茧,可減少接口的并發(fā)訪問量铝宵,最常見的例如12306的變態(tài)驗證碼,可緩解登錄按傅、提交訂單相關(guān)接口的訪問壓力
3.增加服務(wù)器的帶寬捉超,增強服務(wù)器的性能
'''當然這些方法可能是不全面的,歡迎大家批評指正'''
