黑客一般会利用大流量占用和消耗服务器的资源,导致服务器无法继续提供服务,客户的访问受到极大影响。
如果我们没有部署有效的DDoS防御策略,攻击者可以毫不费力地让服务器崩溃。
一般来说,如果恶意请求有特征,对付起来很简单:直接拦截它就行了,我自己用得比较多的是HTTP拦截。
拦截主要在三个层面:
1.专用的防火墙,配置专用的防火墙专门来过滤请求,这个效果很好,但价格也贵。
2.本机部署防火墙,操作系统都会带有软件防火墙,Linux 服务器一般使用 iptables。比如,拦截 IP 地址1.2.3.4的请求,可以执行下面的命令。
$ iptables -A INPUT -s 1.2.3.4 -j DROP
iptables 比较复杂,我也不太会用。它对服务器性能有一定影响,也防不住大型攻击。
3.Web 服务器,Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4,nginx 的写法如下。
location / {
deny 1.2.3.4;}
Apache 的写法是在.htaccess文件里面,加上下面一段。
<RequireAll>
Require all granted
Require not ip 1.2.3.4</RequireAll>
如果想要更准确的控制(比如自动识别并拦截那些频繁请求的 IP 地址),启用专为 DDoS 攻击防御设计的高防云服务器,大家用得比较多的是香港高防云服务器。
小鸟云最近就上线了一个香港高防云服务器(https://www.niaoyun.com/server/?utm_source=qd-0825),免费50G防御,免备案,本身是搭载了高速Sas3 SSD固态硬盘,采用国际带宽,与大陆有专线连接,可以防护UDP Flood攻击、SYN Flood攻击和CC攻击等。
此外,像西部、亿速、恒创都有香港高防云服务器,而像阿里、腾讯、华为、百度他们都是防御另外配置的,相对的价格会高很多。