三.如何应对 DDoS 攻击?
行为:选购
选IDC或者云主机时,要查看是否有临时增加带宽,高防服务,冗余等等。这些信息的了解有助于在遇到攻击时帮助解决一部分问题。
行为:检测
购买机器前进行性能测试,定期对业务服务进行测试,要清楚当前结构能抗住多大压力。对于电商网站,双十一就是一次DDOS,清楚抗压多少可以根据这些数据来增加机器进行冗余,做到心中有数。
平时可根据数据来预留综合流量30%的资源,以防突然的小高峰访问而导致服务崩溃。
行为:适当
对系统和软件的配置,不能动不动就65535,这会导致很容易就被打垮。如果机器只能支持3000,那就配置3000,这样再多就进不来了,而当前只会慢一些。
优化:内核进行优化
内核可以控制tcp协议的一些机制,比如链接超时多久就放弃链接,设置短一些将会少量禁止那些半syn攻击,再比如启用TIME-WAIT状态sockets的快速回收,这样可以应对大并发的流量,一个tcp链接终止后将快速释放。
具体可以查看内核详细说明
优化:web服务器优化
针对WEB服务配置的修改,当前只说明nginx的,可以设置客户端连接保持会话超时时间,超过这个时间,服务器断开这个链接等等,根据性能测试,web服务器的优化将带来更显著的效果。
具体可以查看nginx详细说明对于优化前后差别可以查看优化前后
软件:黑名单
面对火锅店里面的流氓,我一怒之下将他们拍照入档,并禁止他们踏入店铺,但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单,此方法秉承的就是“错杀一千,也不放一百”的原则,会封锁正常流量,影响到正常业务。
像nginx里设置最大一个ip并发访问20就禁止,也是不太好的,因为有的公司使用正向代理服务器访问,或者公司就一个出口ip,那一个ip可能一个公司用,何止20并发。
并且如果在服务器上设置黑名单,将会很消耗服务器资源,进来一个链接就比对一次,换成硬件防火墙好一些。
配置:CDN加速
我们可以这么理解:为了减少流氓骚扰,我干脆将火锅店开到了线上,承接外卖服务,这样流氓找不到店在哪里,也耍不来流氓了。在现实中,CDN 服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的真实 IP,另一方面即使遭遇 DDoS 攻击,也可以将流量分散到各个节点中,防止源站崩溃。
同时每个节点都有缓存的静态页面,这样如果攻击方不是随机访问网站多个页面,将能更好的承接攻击。
配置:尽量使用静态页面
DDOS是耗尽资源(带宽,服务器的内存,cpu,tcp链接数),如果将首页或者某些页面尽量使用静态的html页面,如果点击某些东西再切换到动态页面,将能更好的承接DDOS攻击,如果首页是动态页面,那每次的解析和查询表单等操作将会很耗费性能。
硬件:高防服务器
还是拿我开的重庆火锅店举例,高防服务器就是我给重庆火锅店增加了两名保安,这两名保安可以让保护店铺不受流氓骚扰,并且还会定期在店铺周围巡逻防止流氓骚扰。高防服务器主要是指能独立硬防御 50Gbps 以上的服务器,能够帮助网站拒绝服务攻击,定期扫描网络主节点等,这东西是不错,就是贵~
硬件:DDoS 清洗
DDos 清洗,就是我发现客人进店几分钟以后,但是一直不点餐,我就把他踢出店里。
DDoS 清洗会对用户请求数据进行实时监控,及时发现DOS攻击等异常流量,在不影响正常业务开展的情况下清洗掉这些异常流量。
硬件:提高带宽
现在大多用云,那意味着可以动态扩容,像nginx属于高并发,很多时候并不是内存和cpu满了,而是带宽不够用了。那就可以买带宽来临时提高
如果是真实机,那就没办法了,像idc被攻击就不太好处理,最好是上高防
硬件:LSB负载均衡
如果是阿里云,可以在域名的DNS那里填写多个LSB的地址,每个LSB提供5G的流量清洗,这样几个加起来就可以抵御很大的攻击了。将正常访问传给后端服务。攻击科普:DDos
