456主机测评
原文网址:网站防御DDoS的方案--高防节点(高防IP)_IT利刃出鞘的博客-CSDN博客
简介
本文介绍如何使用高防节点防御DDoS攻击。
本文包含的内容有:DDos的概念,高防节点的防御原理,提供高防节点的一些厂家,高防节点的配置方式。
技术资料与交流 ==> 分享靠谱资料:Java真实面试题汇总、精选简历模板、PDF书籍(高清带书签)、精选PPT模板等;分享Java实用技术;帮助优化简历。详见:资料与交流
什么是DDoS
DDoS概念
DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”。
定义:通过占用网络服务的资源让服务器应接不暇,从而拒绝正常的业务流量的一种网络攻击方式。通俗来讲:DDoS就是占用带宽等资源,让正常的用户也无法访问,从而达到攻击目的。
DDoS攻击原理
攻击者用很多台服务器(攻击者),针对某ip(被攻击者)进行攻击。比如:一直访问这个ip的主页。(DDoS攻击的是ip,CC攻击的是域名)。
这些攻击者服务器也可以称为:“肉鸡”、“傀儡机”、“僵尸机”。(后边我用“傀儡机”来称呼攻击者服务器)。
傀儡机一般都不是真正的ip,很难找到攻击者。
所以,我们一定要保证自己的真实的ip不要暴露出来,这样才不容易被攻击。
DDoS攻击成本
几十块钱就可以发动一次DDoS攻击。
被攻击者服务器被攻击的流量超过一定限度,则会被服务器厂商给断开服务,因为服务器厂商也是要保护自己的。以阿里云服务器为例,默认情况下它是毫无防护的,受到一点点攻击,它就把受攻击的ip对应的那个服务器给扔到“黑洞”(可以理解为断开网络),过一段时间(一般是24小时)之后才会把它从“黑洞”拿出来。
DDoS是违法的,抓到就会判刑。但是有人就会铤而走险,比如:有人会花钱让人攻击同行的网站。
高防节点的防御原理
防御DDoS的方案有很多,比如:DNS、经常通过Nginx来切ip、买高防节点、买高防CDN(适用于静态网页)。
最好的方案就是买高防节点,本处介绍高防节点的防御原理。
高防节点的防御原理是:外部访问链接的时候,先经过高防服务器节点,高防节点再转发到我们自己的服务器。高防节点会进行黑白名单的过滤、限流、图形验证码等操作,最终到达我们真实服务器的流量就基本是正常业务的数据了。厂商是专门做服务器防御的,他们会有很多CDN节点,能抗很多流量。
高防节点厂商
大厂
|
厂商 |
防御能力 |
价格 |
备注 |
|
Cloudflare |
很好。 |
免费:不限流量。 若受到太多攻击,会收20美金/月。 |
因为是国外的,所以会对访问速度产生一点影响。 |
|
阿里云 |
防御效果并不好。 |
很贵。最低一万六一个月 |
|
|
腾讯云 |
防御效果并不好。 |
很贵。 |
|
|
华为云 |
防御还行。 有公司使用华为云,从来没被攻击过。 |
很贵。 |
|
|
运营商 |
防御还行。 |
价格中等。 |
电信+联通 节点 |
小厂
|
厂商 |
防御能力 |
价格 |
备注 |
|
群英 |
很好。 |
100G:3500元 |
推荐 |
|
知道创宇抗D宝 |
很好。 |
2G:免费 |
推荐 |
|
黑洞(绿盟) |
很好。 |
||
|
太极盾 |
很好。 |
||
|
金盾(中新) |
|||
|
傲盾(傲盾安全网) |
高防节点的配置方式
有了高防节点,你可以选择 2 个方案进行配置:
- Iptables
- 使用 Iptables 的 DNAT 技术,让流量通过高防后,转发到源站;
- 优点:配置简单
- 缺点:源站无法获取客户的真实IP
- Nginx 的反向代理
- 优点:源站可以获取客户真实 IP
- 缺点:源站有多少域名都需要在 Nginx 的反向代理里配置。
当前这 2 个方案,都得结合 DNS 技术,需要把高防的 IP 解析到域名,一般高防多节点会给你 2 个 IP,一个是电信,一个是联通,所以你需要在 DNS 里解析这 2 个 IP,我使用 DNSPOD,所以你可以参考下面
在"线路类型"这里,默认与电信线路都解析到高防的电信里,联通就解析到联通里,TTL 时间最好能短一些,如果有问题可以快速切换,但由于我这个是免费dnspod,所以只能是 600 秒了。
另外如果想使用高防,你源站 IP 也需要先切换到一个新的 IP,因为旧的已经暴漏,如果不换 IP,可能导致对方直接攻击你源站,并且切换到新 IP 后,80端口也只允许高防 IP 获取数据。
下面介绍如果使用 Iptables 的 DNAT 与 Nginx 反向代理。
IPTABLE 的 DNAT
1. 配置转发功能
sysctl -w net.ipv4.ip_forward=12. 配置 Iptables
*nat :PREROUTING ACCEPT [9:496] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口 -A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口 -A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP -A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP COMMIT # Generated by iptables-save v1.4.7 on Wed Feb 22 11:49:17 2017 *filter :INPUT DROP [79:4799] :FORWARD ACCEPT [37:2232] :OUTPUT ACCEPT [150:21620] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,10050 -j ACCEPT -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT COMMIT针对上面高防电信 IP、高防联通 IP、源站 IP、源站 web 端口、公司机房网段进行修改。
完成后重启 Iptables 就可以生效(dnspod 的配置别忘记),源站不需要修改任何配置。
Nginx 的反向代理
1. 安装
yum 或编译都行,但如果想让源站获取真实用户 IP 需要新增模块(高防与源站都需要有此模块)
--with-http_realip_module这个模板默认 yum 安装是已存在,如果不知道自己有哪些模块可以使用下面命令查看
nginx -V2. 在高防的 Nginx 的里配置
upstream web { server xxx.xxx.xxx.xxx:80; } server { listen 80; server_name notice1.ops.xxx.xxx; client_max_body_size 10M; proxy_read_timeout 30; access_log /var/log/nginx/access_notice.log; error_log /var/log/nginx/error_notice.log; location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_redirect off; proxy_headers_hash_max_size 51200; proxy_headers_hash_bucket_size 6400; proxy_pass http://web; } }需要修改 upstream web 里的 server 源站 IP 与端口,以及 server_name 那里的域名。
最后你需要在 Iptables 里开通本机 80 允许公网访问。
3. 在源站的 Nginx 里配置
server { listen 80; server_name notice1.ops.xxx.xxx; index index.html index.htm index.php; root /var/www/html/; access_log /var/log/nginx/notice-access.log; error_log /var/log/nginx/notice-error.log; error_page 502 = /502.html; location ~ .*\.(php|php5)?$ { fastcgi_pass unix:/tmp/php-cgi.sock; fastcgi_index index.php; include fastcgi.conf; } location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_redirect off; set_real_ip_from xxx.xxx.xxx.xxx; real_ip_header X-Real-IP; } location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|mp3)$ { expires 30d; } location ~ .*\.(js|css)?$ { expires 12h; } }主要需要修改的是 server_name 与 set_real_ip_from,后者是需要填写高防的 IP。
完成后重启 Nginx,并且在 Iptables 防火墙里设置只允许高防 IP 访问自己本地 80。
另外如果你有多个域名,就写多个虚拟主机配置文件就好。
目前高防方案只能防护 100G 以下攻击,如果攻击超过 100G,你可以选择阿里云盾的,可以最高支持 300G 的,另外真的要是超过了 100G 攻击,你可以联系网监了。
- 海报
