時不時的就有客戶會被ddos一下。很多時候攻擊很簡單也容易封堵,但是攻擊的目標是應用的時候就更難防禦。在這裡雲端衛士介紹一下使用nginx作為**過濾器來封堵一些這種攻擊。
apache ddos攻擊
攻擊apache或者任何其他的http伺服器並不需要大量流量。有些伺服器可能1 mbit流量就宕機了。正確頁面上的正確請求會生成巨大的負載,導致伺服器過載。應用設計、阿帕奇配置和其他的因素都會對這種相對較低水平的流量宕機作出貢獻。當然也有辦法能夠對抗ddos攻擊。比如使用nginx,作為http伺服器的替代品用來處理流量。
用nginx對抗ddos
nginx作為反向**
由於一些技術內部元件,nginx通常比apache更擅長處理高併發。在很多案例中,我們在apache系統的前端部署nginx作為反向**伺服器。通過在nginx中調整變數,通常可以抵抗住更小的攻擊。如果攻擊更大的話,可能就需要在nginx中採用ip之地、使用者**、國籍或者其他的資料過濾流量。也可以將這些流量徹底丟掉,就永遠不會到達web伺服器了。
伺服器靜態頁面
如果攻擊的目標是指令碼或者資料庫驅動頁面,伺服器或者資料庫可能很快就過載。首先可以做的就是建立這個頁面的靜態版本:
1.在安全的地方做乙個映象
2.將真正的指令碼轉移到乙個替代命名
3.設定乙個副本用來使用wget或curl,從而在需要間隔建立該頁面的靜態版本。
就算你的副本每分鐘都在執行,這樣也比執行指令碼導致的資料庫受到的攻擊少得多。這也是一種快速且更易於實現的方式來顯著提公升頁面可擴充套件性的方法。
來自nginx的伺服器目標頁面
還有一些案例中,幾個頁面的apache每秒收到了2000多個請求。即便採用靜態頁面的技巧以及用nginx作為反向**,系統仍舊處於困境。
這種案例中,攻擊者攻擊具體的頁面,可以將這些頁面的靜態副本轉移到nginx**。使用位置定向,可以設定nginx來處理這些檔案,好處就是現在的nginx**正在處理大多數的負載,而apache伺服器則在做該做的。
採用ram磁碟
還可以使用/dev/shm (ram) 作為靜態檔案的位置。通過將目標檔案從主伺服器轉移到nginx反向**,從ram服務他們,就能夠在最低限度的硬體上處理每秒1000個請求,這樣做減少了磁碟的io問題,可以快速服務正常業務。
使用者**封堵
我們發現超過60%的攻擊都有具體的使用者**。這個使用者**大部分都獨一無二。這個使用者**可以識別極少的合法流量。
用nginx的過濾技術傳送500 error到任何使用使用者**的客戶端。就可以選擇性的減少流量或者重定向流量。這樣做的確會有一些攻擊變化。
ip封堵
別忘了ip資訊報過濾系統或者防火牆。在一些案例中,需要更為嚴厲的舉措。比如,我們可以鎖定具體的國家,將其流量過濾掉。這樣做就能夠減少75%的攻擊,剩下的就更易於處理,並且保證**的正常執行。
這些僅僅是一些雕蟲小技,想必每一位抗戰在ddos一線的戰士都有自己的一些心得體會。在一些出租裝置上,對於http的ddos攻擊很難封堵,也難以部署自己的過濾裝置。現在也有很多新的ddos防護服務出現,可以供選擇。
如何使用Nginx對抗DDoS攻擊?
時不時的就有客戶會被ddos一下。很多時候攻擊很簡單也容易封堵,但是攻擊的目標是應用的時候就更難防禦。在這裡雲端衛士介紹一下使用nginx作為 過濾器來封堵一些這種攻擊。apache ddos攻擊 攻擊apache或者任何其他的http伺服器並不需要大量流量。有些伺服器可能1 mbit流量就宕機了。...
如何使用Nginx對抗DDoS攻擊?
ddos攻擊是目前最常見的網路攻擊方式之一,大部分企業都有被ddos攻擊過,或是敲詐勒索盜取資訊,或是競爭對手惡意攻擊。而ddos攻擊之所以深受黑客歡迎,最主要的原因是因為ddos無法徹底解決,只能被動防禦,特別是針對應用層的ddos更難防禦。今天通過以往的客戶案例經驗,為大家介紹一下如何使用ngi...
nginx防禦DDOS攻擊
防禦ddos是乙個系統工程,攻擊花樣多,防禦的成本高瓶頸多,防禦起來即被動又無奈。ddos的特點是分布式,針對頻寬和服務攻擊,也就 是四層流量攻擊和七層應用攻擊,相應的防禦瓶頸四層在頻寬,七層的多在架構的吞吐量。對於七層的應用攻擊,我們還是可以做一些配置來防禦的,例如前端是 nginx,主要使用ng...