nginx怎么防止ddos攻击cc攻击等流量攻击?
网上也搜过好多方法大概是以下几种方法
1.添加防火墙;(由于价格太贵放弃了)
2.更换域名,发现被攻击后,立刻解析到其他域名上,把被攻击的域名停止解析(由于需要人工操作,且dns解析与停止不是实时的需要时间)
3.在nginx中拦截cc攻击
最终讨论方法是在nginx中拦截
下面说一下原理
由ios,android端写一个对称加密算法且吧时间戳也加密进去;作为user-agent来访问服务器的接口,然后在nginx中去解密这个user-agent来检验这个加密字符串是否合法或者是否过期;如果是合法的则去调用php-fpm运行程序,如果不合法则直接返回403;
那么问题了来了如何在nginx拦截cc攻击了,也就说如何在nginx中编程了,我一个php程序员肯定不会;这个时候需要引入一个lua控件;
单独安装lua插件太麻烦了,后来直接安装了openresty直接在openresty中编写lua脚本,成功防御了cc攻击
DDOS攻击是什么?
DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是DenialofService的简写就是拒绝服务,而DDoS就是DistributedDenialofService的简写就是分布式拒绝服务,而DRDoS就是DistributedReflectionDenialofService的简写,这是分布反射式拒绝服务的意思
ddos手段有哪些?
ddos攻击主要有以下3种方式。
大流量攻击
大流量攻击通过海量流量使得网络的带宽和基础设施达到饱和,将其消耗殆尽,从而实现淹没网络的目的。一旦流量超过网络的容量,或网络与互联网其他部分的连接能力,网络将无法访问。大流量攻击实例包括ICMP、碎片和UDP洪水。
TCP状态耗尽攻击
TCP状态耗尽攻击试图消耗许多基础设施组件(例如负载均衡器、防火墙和应用服务器本身)中存在的连接状态表。例如,防火墙必须分析每个数据包来确定数据包是离散连接,现有连接的存续,还是现有连接的完结。同样,入侵防御系统必须跟踪状态以实施基于签名的数据包检测和有状态的协议分析。这些设备和其他有状态的设备—包括负责均衡器—被会话洪水或连接攻击频繁攻陷。例如,Sockstress攻击可通过打开套接字来填充连接表以便快速淹没防火墙的状态表。
应用层攻击
应用层攻击使用更加尖端的机制来实现黑客的目标。应用层攻击并非使用流量或会话来淹没网络,它针对特定的应用/服务缓慢地耗尽应用层上的资源。应用层攻击在低流量速率下十分有效,从协议角度看,攻击中涉及的流量可能是合法的。这使得应用层攻击比其他类型的DDoS攻击更加难以检测。HTTP洪水、DNS词典、Slowloris等都是应用层攻击的实例。