防禦ddos是乙個系統工程,攻擊花樣多,防禦的成本高瓶頸多,防禦起來即被動又無奈,下面這篇文章主要給大家介紹了關於如何利用nginx處理ddos進行系統優化的相關資料,文中通過示例**介紹的非常詳細,需要的朋友可以參考下
前言眾所周知ddos很常見,甚至被稱為黑客圈子的准入技能;ddos又很兇猛,搞起事來幾乎壓垮一方網路。
ddos的特點是分布式,針對頻寬和服務攻擊,也就 是四層流量攻擊和七層應用攻擊,相應的防禦瓶頸四層在頻寬,七層的多在架構的吞吐量。對於七層的應用攻擊,我們還是可以做一些配置來防禦的,例如前端是 nginx,主要使用nginx的http_limit_conn和http_limit_req模組來防禦。
什麼是分布式拒絕服務ddos(distributed denial of service)意為分布式拒絕服務攻擊,攻擊者利用大量「肉雞」對攻擊目標發動大量的正常或非正常請求,耗盡目標主機資源或網路資源,從而使被攻擊者不能為合法使用者提供服務。通常情況下,攻擊者會嘗試使擁有這麼多連線的系統飽和,並要求它不再能夠接受新的流量,或者變得非常緩慢以至於無法使用。搜尋引擎大全
換句話說老張的飯店(被攻擊目標)可接待100個顧客同時就餐,隔壁老王(攻擊者)僱傭了200個人(肉雞),進飯店霸佔位置卻不吃不喝(非正常請求),飯店被擠得滿滿當當(資源耗盡),而真正要吃飯的顧客卻進不來,飯店無法正常營業(ddos攻擊達成)。那麼問題來了,老張該怎麼辦?
當然是,轟出去!
通常情況下,攻擊者會嘗試使擁有這麼多連線的系統飽和,並要求它不再能夠接受新的流量,或者變得非常緩慢以至於無法使用。
應用層ddos攻擊特性
應用層(第7層/ http)ddos攻擊由軟體程式(機械人)執行,該軟體程式可以定製為最佳利用特定系統的漏洞。例如,對於不能很好地處理大量併發連線的系統,僅通過周期性地傳送少量流量開啟大量連線並保持活動狀態,可能會耗盡系統的新連線容量。其他攻擊可以採取傳送大量請求或非常大的請求的形式。由於這些攻擊是由殭屍程式而不是實際使用者執行的,因此攻擊者可以輕鬆地開啟大量連線並非常快速地傳送大量請求。
ddos攻擊的特徵可以用來幫助減輕這些攻擊,包括以下內容(這並不意味著是乙個詳盡的列表):
-流量通常來自一組固定的ip位址,屬於用於執行攻擊的機器。因此,每個ip位址負責的連線和請求數量遠遠超出您對真實使用者的期望。
注意:不要認為此流量模式總是代表ddos攻擊。****的使用也可以建立這種模式,因為****伺服器的ip位址被用作來自它所服務的所有真實客戶端的請求的客戶端位址。但是,來自****的連線數和請求數通常遠低於ddos攻擊。
-由於流量是由機械人生成的,並且意味著壓倒伺服器,因此流量速率遠高於人類使用者可以生成的流量。
-該 referer頭有時設為您可以與攻擊相關聯的值。
使用nginx和nginx plus來抵禦ddos攻擊
nginx和nginx plus具有許多功能,與上述的ddos攻擊特性相結合,可以使它們成為ddos攻擊緩解解決方案的重要組成部分。這些功能通過調節傳入流量並通過控制流量**後端伺服器來解決ddos攻擊。
nginx事件驅動架構的內在保護
nginx旨在成為您的**或應用程式的「減震器」。它具有非阻塞的事件驅動架構,可以應對大量請求,而不會明顯增加資源利用率。
來自網路的新請求不會中斷nginx處理正在進行的請求,這意味著nginx可以利用下面描述的技術來保護您的站點或應用免受攻擊。
如何處理DDoS
ddos 簡述 ddos是分布式拒絕服務 distributed denial of service 的英文縮寫,其 方式通常是利用很多受 者控制的 殭屍主機 向目標主機傳送大量看似合法的資料報,從而造成主機資源被耗盡或網路被堵塞,導致主機無法繼續正常提供服務。ddos通常可以分為兩類,即資源耗費式...
如何處理DDoS
ddos 簡述 ddos是分布式拒絕服務 distributed denial of service 的英文縮寫,其 方式通常是利用很多受 者控制的 殭屍主機 向目標主機傳送大量看似合法的資料報,從而造成主機資源被耗盡或網路被堵塞,導致主機無法繼續正常提供服務。ddos通常可以分為兩類,即資源耗費式...
如何處理DDoS攻擊
ddos攻擊簡述 ddos是分布式拒絕服務 distributed denial of service 的英文縮寫,其攻擊方式通常是利用很多受攻擊者控制的 殭屍主機 向目標主機傳送大量看似合法的資料報,從而造成主機資源被耗盡或網路被堵塞,導致主機無法繼續正常提供服務。ddos通常可以分為兩類,即資源...