实战经验:电商平台遭遇CC攻击,我们是如何应对的?( 四 )
避免IP泄漏
为了减少被DDos攻击的可能性 , 我们需要隐藏真实IP , 这可以让攻击者找不到攻击目标 , 从而有效地保护网站 。 隐藏IP主要有两种方式 , 利用CDN或者高防IP 。 虽然很多公司都接入了CDN , 但是还有很多要注意的点 , 一不留神就会泄漏真实IP 。
尽量避免真实业务主机直接发起对外连接 , 不理解这句的同学可以想想以下场景:用户注册激活、找回密码等业务需要发邮件 , 如果业务主机直接通过SMTP方式向外发邮件 , 绝大部分情况下邮件HEADER中会出现真实IP 。
防止二级域名IP泄漏 。 主域名上了CDN , 如果管理后台的admin的二级域名没有经过CDN , 就可以轻易解析到业务主机的IP , 同样泄漏了真实IP 。 邮件解析的MX , 如果没有经过CDN , 同样会泄露真实IP 。 CDN如果只用了国内的 , 则可以通过国外主机PING域名来获取真实IP 。 诸如此类的情况比较多 , 要引起大家的注意 。
注:MX即邮件交换记录 。 用于将以该域名为结尾的电子邮件指向对应的邮件服务器 。 例如用户所用的邮件是以域名163.com为结尾 , 那么在MX解析时就要解析到163.com对应的服务器IP 。 如果没有经过CDN , 很容易获取真实IP 。
最后介绍几款分布式网络攻击工具:
LOIC:LOIC是一款专注于web应用程序的Dos/DDOS攻击工具 , 它可以用TCP数据包、UDP数据包、HTTP请求对目标网站进行DDOS/DOS测试 , 不怀好意的人可能利用LOIC构建僵尸网络 。 LOIC是用C#语言写的 , 这是一个C#新手的练手作品 , 靠GUI界面吸引了不明真相的小白们使用 。 由于程序设计上“有意或无意”留下的BUG导致一旦开始攻击在退出进程前无法真正停止攻击 , 潜在增大了攻击效果 。 攻击手段主要是以无限循环方式发送大量数据 , 并无其它特色 。 LOIC 程序主界面如下 。
文章插图
HULK:HULK是一种web的拒绝服务攻击工具 。 它能够在web服务器上产生许多单一的伪造流量 , 能绕开引擎的缓存 , 因此能够直接攻击服务器的资源池 。 hulk的特别之处在于:对于每一个请求都是独特的 , 能够绕开引擎的缓存直接作用于服务器的负载 。
【实战经验:电商平台遭遇CC攻击,我们是如何应对的?】Darkddoser:Darkddoser通过僵尸网络发起http攻击 , 图形界面如下 。
文章插图
Slowhttptest:Slowhttptest是一个可以灵活配置的应用层攻击工具 , 它能发起诸如slowloris、Slow http post、slow read、slow range等工具实现的慢速攻击 。
Zarp:Zarp是采用Python编写的、类似MSF的一款网络攻击测试框架 。 工具采用模块化设计 , 集漏洞扫描、嗅探、DDoS压力测试于一身 。 Zarp主要接口是一个CLI驱动的图形界面 , 采用多层菜单 , 使用起来相当方便 。
写在最后在计算机世界的攻与防的博弈中 , 作为防御者的我们 , 不可能把系统做到无懈可击 , 没有任何安全漏洞 。 我们能做的是 , 尽量考虑全面 , 不断的发现问题 , 将已知的安全问题快速修复 。 没有绝对安全的系统 , 也没有无法防御的黑客 。 只有不断积累安全知识 , 保持居安思危的意识才能让我们从容应对网络攻击 。
如果觉得本文对你有帮助 , 可以点赞关注支持一下
推荐阅读
- 传统|电商年货节打造匠心专区 百款非遗好物让年味更浓郁
- 为何日本实体店能“干倒”电商,中国实体店却不行?原因值得深思
- 估值超180亿美元 东南亚网约车Gojek拟与电商Tokopedia合并
- 最前线 | 原依图CTO颜水成离职,加入东南亚电商独角兽 Shopee
- 打造青岛世界工业互联网之都 首届电商直播专项职业能力考评顺利举办
- 贵溪这家企业急聘电商客服、带货主播!
- 龙南|龙南跨境电商“9610”业务正式开通
- 湘绣跨境电商进校园 共育高素质应用型人才
- 直播|中非直播电商孵化中心启动
- 山西跨境电商零售出口首单业务落地