摘要:服務(wù)器垂直擴(kuò)展和水平擴(kuò)容資金允許的情況下,這是最簡單的一種方法,本質(zhì)上講,這個方法并不是針對攻擊的,而是提升服務(wù)本身處理并發(fā)的能力,但確實提升了對攻擊的承載能力。
今天先是看到一篇討論CC攻擊的文章:Nginx防CC攻擊,緊接著就有同學(xué)在群里問我關(guān)于防CC攻擊的問題,巧嗎?好巧!
什么是CC攻擊?
CC攻擊是DDoS攻擊的一種類型,使用代理服務(wù)器向受害服務(wù)器發(fā)送大量貌似合法的請求(通常使用HTTP GET)。CC(Challenge Collapsar,挑戰(zhàn)黑洞)根據(jù)其工具命名,攻擊者創(chuàng)造性地使用代理機(jī)制,利用眾多廣泛可用的免費代理服務(wù)器發(fā)動DDoS攻擊。許多免費代理服務(wù)器支持匿名模式,這使追蹤變得非常困難。
本來看了上面那篇文章,覺得雖然寫的很用心,還做了樣本壓測,但僅僅做基于IP的頻率限制,從原理上來講并不實用,為什么呢?其實,作者自己在文末也提到了。
雖然用limit_req_module可以在一定程度上的防止CC攻擊,但是有誤殺概率;國內(nèi)寬帶用戶的IP地址已經(jīng)大量內(nèi)網(wǎng)化,幾百人共享一個IP的可能性是很大的。
做基于IP的頻率限制,誤殺的概率確實非常大。在國內(nèi),一個小區(qū)、一個公司經(jīng)常會遇到共用IP的情況,而移動網(wǎng)絡(luò)共用基站的設(shè)備更是容易出現(xiàn)相同的公網(wǎng)IP。
墨菲定律第一條就是:任何事物都沒有表面看起來那么簡單。何況這個看起來一點都不簡單,怎么可能只用IP頻率限制這一種手段呢?對于CC攻擊,其防御必須采用多種方法,而這些方法本質(zhì)上也是在提高服務(wù)器的并發(fā)能力。
1. 服務(wù)器垂直擴(kuò)展和水平擴(kuò)容資金允許的情況下,這是最簡單的一種方法,本質(zhì)上講,這個方法并不是針對CC攻擊的,而是提升服務(wù)本身處理并發(fā)的能力,但確實提升了對CC攻擊的承載能力。
垂直擴(kuò)展:是指增加每臺服務(wù)器的硬件能力,如升級CPU,增加內(nèi)存,升級SSD固態(tài)硬盤等。
水平擴(kuò)容:是指通過增加提供服務(wù)的服務(wù)器來提升承載力。
上述擴(kuò)展和擴(kuò)容可以在服務(wù)的各個層級進(jìn)行,包括:應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器等等。
2. 數(shù)據(jù)緩存(內(nèi)存級別,不要用文件)對于服務(wù)中具備高度共性,多用戶可重用,或單用戶多次可重用的數(shù)據(jù),一旦從數(shù)據(jù)庫中檢索出,或通過計算得出后,最好將其放在緩存中,后續(xù)請求均可直接從緩存中取得數(shù)據(jù),減輕數(shù)據(jù)庫的檢索壓力和應(yīng)用服務(wù)器的計算壓力,并且能夠快速返回結(jié)果并釋放進(jìn)程,從而也能緩解服務(wù)器的內(nèi)存壓力。
需要注意的是,緩存不要使用文件形式,可以使用redis、memcached等基于內(nèi)存的no sql緩存服務(wù),并且與應(yīng)用服務(wù)器分離,多帶帶部署在局域網(wǎng)內(nèi)。局域網(wǎng)內(nèi)的網(wǎng)絡(luò)IO肯定比起磁盤IO要高。當(dāng)然,為了不使局域網(wǎng)帶寬成為瓶頸,千兆網(wǎng)絡(luò)也是有必要的。
3. 頁面靜態(tài)化與數(shù)據(jù)緩存一樣,頁面數(shù)據(jù)本質(zhì)上也屬于數(shù)據(jù),常見的手段是生成靜態(tài)化的html頁面文件,利用客戶端瀏覽器的緩存功能或者服務(wù)端的緩存服務(wù),以及CDN節(jié)點的緩沖服務(wù),均可以降低服務(wù)器端的數(shù)據(jù)檢索和計算壓力,快速相應(yīng)結(jié)果并釋放連接進(jìn)程。
4. 用戶級別的調(diào)用頻率限制不管服務(wù)是有登陸態(tài)還是沒登陸態(tài),基于session等方式都可以為客戶端分配唯一的識別ID(后稱作SID),服務(wù)端可以將SID存到緩存中。當(dāng)客戶端請求服務(wù)時,如果沒有帶SID(cookie中或請求參數(shù)中等),則由服務(wù)端快速分配一個并返回。可以的話,本次請求可以不返回數(shù)據(jù),或者將分配SID獨立出業(yè)務(wù)服務(wù)。當(dāng)客戶端請求時帶了合法SID(即SID能在服務(wù)端緩存中匹配到),便可以依據(jù)SID對客戶端進(jìn)行頻率限制。而對于SID非法的請求,則直接拒絕服務(wù)。
相比根據(jù)IP進(jìn)行的頻率限制,根據(jù)SID的頻率限制更加精準(zhǔn)可控,最大程度的避免誤殺的情況。
5. IP限制最后,IP限制依然可以結(jié)合上述規(guī)則一起使用,但是可以將其前置到外層的防火墻或負(fù)載均衡器上去做,并且可以調(diào)大限制的閾值(結(jié)合歷史統(tǒng)計數(shù)量,預(yù)測一個極端的訪問量閾值,在服務(wù)器可承受的范圍內(nèi),盡量避免誤傷),防止惡意訪問穿透到應(yīng)用服務(wù)器上,造成應(yīng)用服務(wù)器壓力。
掃描下方二維碼或者微信搜索[phpjiagoushier],關(guān)注我的微信公眾號[PHP架構(gòu)],參與互動交流。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/11239.html
摘要:高防服務(wù)器如何辨認(rèn)通過以上的內(nèi)容,大家已經(jīng)了解了高防服務(wù)器辨認(rèn)的方法了,這樣在選擇高防服務(wù)器的時候,就知道該注意什么了。什么是高防服務(wù)器?高防服務(wù)器主要是指獨立單個硬防防御50G以上的服務(wù)器,可以為單個客戶提供安全維護(hù),總體來看屬于服務(wù)器的一種,根據(jù)各個IDC機(jī)房的環(huán)境不同,有的提供有硬防,有使用軟防。簡單來說,就是能夠幫助網(wǎng)站拒絕服務(wù)攻擊,并且定時掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點,查找可能存在的安全漏...
摘要:近期,又迎來了一次重大升級,主要包括如下重點功能新增華南區(qū)域節(jié)點擴(kuò)展包,推出合規(guī)解決方案,新增中國內(nèi)地體驗版。后續(xù)將進(jìn)一步支持回源多區(qū)域部署等功能,助力政府金融企業(yè)快速安全的實現(xiàn)改造。Web系統(tǒng)承載著各企事業(yè)單位的門戶、注冊登錄、業(yè)務(wù)執(zhí)行等職責(zé),很容易遭受各種類型的惡意流量攻擊,影響應(yīng)用可用性、損害安全性或消耗過多的資源,UCloud Web應(yīng)用防火墻UWAF則可以有效保護(hù)用戶的 Web 應(yīng)...
摘要:美國高防服務(wù)器怎么樣高防服務(wù)器已經(jīng)成為現(xiàn)在人們租用服務(wù)器時的第一選擇,主要是因為現(xiàn)在服務(wù)器太容易受到攻擊了。有的美國美國高防服務(wù)器只能通過自己的方式抵御攻擊,對于防御反而無可奈何。美國高防服務(wù)器怎么樣?高防服務(wù)器已經(jīng)成為現(xiàn)在人們租用服務(wù)器時的第一選擇,主要是因為現(xiàn)在服務(wù)器太容易受到攻擊了。美國高防服務(wù)器除了價格會高一點,和普通的美國服務(wù)器在功能并沒有太大的區(qū)別。因此在租用美國高防服務(wù)器時,在...
閱讀 3689·2021-10-13 09:40
閱讀 3149·2021-10-09 09:53
閱讀 3551·2021-09-26 09:46
閱讀 1848·2021-09-08 09:36
閱讀 4248·2021-09-02 09:46
閱讀 1314·2019-08-30 15:54
閱讀 3179·2019-08-30 15:44
閱讀 1023·2019-08-30 11:06