记一次针对静态页面的DDOS防护

可以看到，有些IP一直处于 SYN_RECD 状态（这里没有是因为攻击已经被屏蔽了，命令是对的哈），意即为已经向其发送了SYN信号等待第三次握手，却没有收到ACK。每当一个IP地址端口向我们的服务器发送TCP链接请求，都会有一个线程被唤起对其提供服务，如果攻击者drop我们发回的SYN，默认的该线程会等待15分钟并重试3次，也就是说对方每个端口发动攻击一次就会浪费一个线程45分钟。当量足够大，线程池爆掉的时候，你的服务器就再也无法为正常用户提供服务了。
这一攻击致命在于你不能判断一个TCP半开链接是真的网不好还是有恶意，所以超时太短会导致影响正常用户体验，太长则会被对方攻击流量洪泛。网传的哪些加大窗口队列长度、缩短超时时间等方法实际上并不能解决本质问题。

那么我们怎么解决这个问题呢？
答案是使用分布式内容分发网络（CDN）。由于CDNIP不固定且遍布全球，某个IP如果被短时间高流量爆破，还有其他的IP为用户提供服务，不会导致系统完全停止响应。而大多CDN提供了更好用的防火墙设置，也能方便我们自定义安全策略。本次处置我采用了CloudFlare CDN（免费版）+ 阿里云强安全策略解决了这一问题。

第一步：部署CloudFlare

登陆注册以后，前往你的域名服务商，将DNS重定向至Cloudflare提供的地址：

随后，等待24h使修改生效。

第二步：应用强安全策略

在阿里云上使用网络安全组策略，设置一个优先级为2的禁止任何流量流入或流出服务器的组策略和一个优先级为1的允许Cloudflare IP地址通过防火墙的组策略：

这时你的服务应该已经恢复正常了，因为攻击者就算知道源站IP，也没有办法用垃圾流量塞满你的服务器了。但是这还不够太平，因为他们有可能洪泛掉免费CDN那点可怜的带宽，怎么办呢：

第三步：使用Cloudflare防火墙策略

在Cloudflare上，根据雇主特点（访问集中于东亚洲几个国家和几个VPS常见地址）部署自定义的防火墙策略，如图：

成效是显著的，域外发动的攻击基本全部被屏蔽，一个月以来，我们的服务再也没有中断过，而对方的攻击流量全部被Cloudflare 一 瞬 缓 存

愿大家在防御的路上武运方昌！

上一篇： 武汉服务器如何选择？

下一篇： 两个亚马逊店铺是不能在同一台电脑登录还是同一个IP地址下登录？这个IP地址是指外网地址还是路由器地址？

内容版权声明：除非注明，否则皆为本站原创文章。

相关推荐

• 2020/8/2  1手工编译linux桌面内核（三）——网络的配置
• 2020/8/2  2如何将手机的某个端口映射为公网端口?
• 2020/8/2  3单标visa卡如何在境内消费？
• 2020/8/2  4壹世云服务器怎么样？
• 2020/8/2  5亚马逊一个店铺，可以在家或者公司IP登录吗？

热门文章

• 
  服务器虚拟化技术在电力企业的应用
  2020/2/4
• 
  利用主机监控系统实现服务器集中管理的研究和实践
  2020/2/3
• 
  服务器虚拟化技术在数字化校园建设中的应用
  2020/2/4
• 
  VMware虚拟化服务器在企业中的构建和应用
  2020/2/4
• 
  数据中心之服务器及其虚拟化
  2020/2/2

友情链接： 工程技术 教育杂志 当代教育实践与教学研究 国内vps 电子世界 中学生作文指导 社会科学 纳税杂志 讲座 液晶拼接屏 VC英语 租号

便宜VPS,免费VPS,国外VPS,日本VPS,美国VPS,国内vps

用户热搜：美国vps主机  美国vps推荐  美国vps服务器  美国vps租用  美国主机评测  美国独立服务器  美国免费主机  美国虚拟主机推荐  美国linux主机  美国网站服务器  美国主机租用  美国服务器托管  美国代理服务器  日本动态vps  提供香港vps  香港机房  香港新世界电讯  香港加速器  香港vps主机  香港cdn  香港idc  香港云主机  香港机房托管  香港虚拟主机  香港服务器托管  香港服务器租用  香港vpn服务器  香港代理ip  日本动态vps  日本在线代理  日本空间  日本代理IP  vps主机  vps教程  vps代购  vps代理  linux vps  德国vps  vps优惠码 俄罗斯vps  vps虚拟主机  双线vps  vps交流  vps动态ip  vps虚拟服务器  台湾vps  香港vps主机  国外vps租用  vps是什么  vps租用试用  locvps  荷兰vps  80vps