我要评论魔兽世界服务器被攻击在目前来说也是比较常见的,同行竞争激烈,在官服开放时也遇到过ddos攻击,要是飞飞没记错是在22年9月14日,从刚开始的身份验证服务器出现问题,到确定是ddos攻击导致,再到ddos攻击结束,差不多3个小时时间。
ddos攻击是一种较常见的网络攻击技术,原理是攻击者通过位于不同位置的多台设备,在同一时间对目标机器发送大量服务请求数据包,导致服务器的系统资源无法处理请求,达到目标机器无法为真正的用户提供正常的服务的目的。
ddos攻击量大的多来自于海外,规模大、难以溯源,仅仅靠高防服务器想防住ddos是不现实的,虽然不能完全杜绝ddos,但通过适当的措施抵御99.9%的ddos攻击是可以做到的。
无论是攻击还是防御都有成本,通过升级服务器防御的方法增强抵御ddos攻击的能力,那意味着攻击者的攻击成本也会增加,大多数攻击者会因为成本高而无法继续而放弃。也算是一种成功抵御ddos攻击的方法。
办法总比困难多,除了上述方法,飞飞和你分享多年idc经验,ddos攻击怎么防御?
1、采用高性能的网络设备
作为互联网从业者,首先要保证的就是网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候尽量选用知名度高、口碑好的。如果和网络提供商有特殊关系或协议的话就更好了,当有大量攻击进入时请他们在网络接点处做一下流量限制来对抗某些种类的ddos攻击是非常有效的。
2、尽量避免nat的使用
路由器、硬件防护墙等设备要尽量避免采用网络地址转换nat的使用,因为采用此技术会较大降低网络通信能力。原理很简单,nat需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多cpu的时间,但有些时候必须使用nat,那就没有办法了。
3、充足的网络带宽
网络带宽直接决定了抵御攻击的能力,当遇到了ddos攻击时我也会建议用户升级带宽,或是临时加带宽。当你的带宽是10m时,无论采取什么措施都难以抵御现在的synflood攻击,做游戏业务的建议带宽50m起步(独享带宽),共享带宽至少100m起步,最好是挂载在1000m的主干上。
还需要注意的是网卡是1000m的不代表网络带宽是千兆的,若交换机是100m的,实际带宽不会超过100m。再就是100m的带宽不等于下载速度就能达到100mb/s,服务器带宽指的是上行带宽,根据公式换算,100m带宽下载速度约12.5mb/s。
4、高性能主机服务器硬件
在网络带宽充足的情况下,建议服务器硬件配置不要太低,要有效对抗每秒10万个syn攻击包,起关键作用的还是cpu和内存,至强或是intel酷睿系列都是可以的,内存一定要选择ddr的高速内存。
5、把网站做成静态页面
大数据证明把网站做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于html的溢出还没出现。新浪、搜狐、网易等门户网站都是静态页面,若你非需要动态脚本调用,那就把它放到另外一台单独主机去,免得遭受攻击时连累主服务器。当然,适当放一些不做数据库调用脚本还是可以的。
此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
6、增强操作系统的tcp/ip栈
windows 2000和windows 2003作为服务器操作系统,本身就具备一定的抵抗ddos攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个syn攻击包,若没有开启则仅能抵御数百个,具体怎么开启,可以参考一下微软的发文。如果你用的是linux和freebsd怎么办?可以参考这篇文章去做《syn cookies》
7、安装专业抗ddos防火墙
比如金盾防火墙(xva-886),对syn flood、udp flood、icmp flood、ack flood、dns query flood、ping sweep等ddos流量型攻击,http get flood、cc proxy flood等ddos连接型攻击和teardrop、fragment flood等漏洞型攻击及其他各种常见的攻击行为都能有效识别,实时监控。并通过集成的机制实时对攻击流量进行阻断处理,保障业务系统正常运行。目前驰网杭州、扬州、绍兴机房都配备金盾、傲盾和华为antiddos防火墙多重防护,保障业务系统正常运行。
8、其他防御措施
以上七条抵御ddos攻击的防御方法,适合大多数拥有自己主机的用户,但如果以上措施都没有效果,就需要更多的投资,增加服务器数量并采用dns轮巡或负载均衡技术,甚至需要更换七层交换机设备,从而使得防护ddos能力成倍提高!
发表评论