江苏龙网

  1. 主页 > 生活百科 > >

抗ddos攻击解决方案,教你如何抵抗ddos攻击( 二 )


分析这种攻击是基于让你的服务做很多昂贵的事情 。这可能就像打开大量的TCP连接并强迫您维护它们的状态,或者向您的服务上传太多或大量的文件,或者可能进行非常昂贵的搜索,或者真的进行任何昂贵的处理 。流量在你规划的可承受范围内,但是做的请求类型太贵,处理不了这么多 。
如果您遇到这种类型的攻击,可能是您的配置中有错误或程序中有bug 。比如:
1)您可能打开了过长的日志记录,并且您可能将日志存储在写入速度非常慢的地方 。如果有人意识到了这一点,并且做了很多导致你向磁盘写入大量日志的事情,那么你的服务器就会慢慢爬行 。
2)你的应用软件可能在输入场景下做了很多极低效的操作 。如果一个程序或者进程有很多情况,会比较明显,比如有很多打开的连接,或者有很多子进程 。这些bug也会被攻击者利用和放大 。
解决方案1)丢弃通过防火墙的流量是一种常见的方案,尤其是对于具有某些特定特征的流量 。当流量较小时,可以通过tcpdump数据包捕获分析在防火墙上进行配置 。
2)修复软件bugs检查进程和子进程,并限制传入请求、每个IP的连接数和允许的子进程数 。
3)修复配置错误,例如:将生产系统上的日志记录调低到合理的级别(取决于程序,通常涉及确保关闭“调试”和“详细”日志记录级别;日志适当,不用太久);
4)毫无疑问,配置越高,抵御此类攻击的效果就越好 。所以不要太吝啬你的CPU和内存,要确保应用程序与后端数据库和磁盘存储快速可靠地连接 。
3.3基于漏洞的DDoS攻击
分析类似于基于负载的DoS,原因和解决方法基本相同 。
唯一不同的是,在这种情况下,错误不会导致你的服务器浪费,而是直接死掉 。攻击者通常利用远程崩溃漏洞,如乱码输入,使他们无法取消引用或服务中的某些内容 。
解决方案对付这种攻击的方法类似于对付未经授权的远程访问攻击的方法 。
1)可以为发起主机和固定流量类型配置防火墙 。
2)如果可以的话,使用认证反向代理 。
3)收集证据(尽量捕捉一些流量),向供应商提交bug,考虑针对源头寻求法律投诉 。
4)如果攻击者能够找到漏洞,这些攻击的发动成本会相当便宜,而且可以非常直接有效,但也相对容易跟踪和阻止 。
【抗ddos攻击解决方案,教你如何抵抗ddos攻击】5)需要注意的是,对基于流量的DDoS有用的技术通常对基于漏洞的DoS没用 。


推荐阅读


上一篇:excel未保存怎么找回,excel恢复数据的简单方法

下一篇:什么是投屏功能,手机投屏原理介绍