網站(博客)被不知道是誰的惡意攻擊了連續幾次,還說會一直下去,不知該怎麼辦啊

如果你的網站是使用的是Nginx做的反向代理,那麼可以利用Nginx原生的limit_req模塊來針對請求進行限制,(ngx_http_limit_req_module 模塊)

當然,也可以使用tengine的limit_req模塊,對官方模塊進行了增強(The Tengine Web Server)

或者還有一個比較高端的模塊:(yaoweibin/nginx_limit_access_module 路 GitHub), 作者是,姚神@大青蛙

CC攻擊原理

攻擊者控制某些主機不停地發大量數據包給對方伺服器造成伺服器資源耗盡,一直到宕機崩潰。CC主要是用來攻擊頁面的,每個人都有這樣的體驗:當一個網頁訪問的人數特別多的時候,打開網頁就慢了,CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數據操作(就是需要大量CPU時間)的頁面,造成伺服器資源的浪費,CPU長時間處於100%,永遠都有處理不完的連接直至就網路擁塞,正常的訪問被中止。

CC攻擊防禦策略

1.取消域名綁定

取消域名綁定後Web伺服器的CPU能夠馬上恢復正常狀態,通過IP進行訪問連接一切正常。但是不足之處也很明顯,取消或者更改域名對於別人的訪問帶來了不變,另外,對於針對IP的CC攻擊它是無效的,就算更換域名攻擊者發現之後,攻擊者也會對新域名實施攻擊。

2.更改Web埠

一般情況下Web伺服器通過80埠對外提供服務,因此攻擊者實施攻擊就以默認的80埠進行攻擊,所以,可以修改Web埠達到防CC攻擊的目的。

3.IIS屏蔽IP

我們通過命令或在查看日誌發現了CC攻擊的源IP,就可以在IIS中設置屏蔽該IP對Web站點的訪問,從而達到防範IIS攻擊的目的。

CC攻擊的防範手段

1.優化代碼

儘可能使用緩存來存儲重複的查詢內容,減少重複的數據查詢資源開銷。減少複雜框架的調用,減少不必要的數據請求和處理邏輯。程序執行中,及時釋放資源,比如及時關閉mysql連接,及時關閉memcache連接等,減少空連接消耗。

2.限制手段

對一些負載較高的程序增加前置條件判斷,可行的判斷方法如下:

必須具有網站簽發的session信息才可以使用(可簡單阻止程序發起的集中請求);必須具有正確的referer(可有效防止嵌入式代碼的攻擊);禁止一些客戶端類型的請求(比如一些典型的不良蜘蛛特徵);同一session多少秒內只能執行一次。

3.完善日誌

儘可能完整保留訪問日誌。日誌分析程序,能夠儘快判斷出異常訪問,比如單一ip密集訪問;比如特定url同比請求激增。

面對來勢洶洶的CC攻擊,其實最好的方式還是選擇第三方的雲安全廠商(就像我們)來解決問題。

知道創宇國際頂尖安全研究團隊為抗D保自主研發的Nightwatch Anti-CC防護引擎可以根據訪問者的URL,頻率、行為等訪問特徵,智能識別CC攻擊,迅速識別CC攻擊並進行攔截,在大規模CC攻擊時可以避免源站資源耗盡,保證企業網站的正常訪問。

好的廣告打完了,感謝您的閱讀?(? ???ω??? ?)?

歡迎訪問我們:知道創宇雲安全

防CC絕招:抗D保

CDN

可以用知道創宇的。

也可以用免費的。通過Cloudflare防CC攻擊

樓上的主觀了,CC攻擊的防護沒那麼簡單的,偽裝手段也是千萬變化,據我所知360網站衛士沒有你說的那麼好的效果,貼篇月光博客文章給你看好了:網站防止CC攻擊的方法節選下內容: 一開始我想使用某某網站衛士來預防攻擊,從界面上看,似乎是防止了大量的CC攻擊,但登錄網站後發現,流量依舊異常,攻擊還是依舊,看起來這個網站衛士的效果並沒有達到。 從原理上看,基本上所有的防火牆都會檢測並發的TCP/IP連接數目,超過一定數目一定頻率就會被認為是Connection-Flood。但如果IP的數量足夠大,使得單個IP的連接數較少,那麼防火牆未必能阻止CC攻擊。

 不僅如此,我還發現,啟用了某某網站衛士之後,反而更容易被CC攻擊,因為這個網站衛士並不能過濾掉CC攻擊,攻擊的IP經過其加速後,更換成為這個網站衛士的IP,在網站伺服器端顯示的IP都是相同的,導致伺服器端無法過濾這些IP。

CC攻擊是一種針對Http業務的攻擊手段,該攻擊模式不需要太大的攻擊流量,它是對服務端業務 處理瓶頸的精確打擊,攻擊目標包括:大量數據運算、資料庫訪問、大內存文件等,攻擊特徵包括:

a、只構造請求,不關心請求結果,即發送完請求後立即關閉會話;

b、持續請求同一操作;

c、故意請求小位元組的數據包(如下載文件);d、qps高;

針對CC的攻擊的防禦需要結合具體業務的特徵,針對具體的業務建立一系列防禦模型,如:連接特徵模型,客戶端行為模型,業務訪問特徵模型等,接收請求端統計客戶信息並根據模型特徵進行一系列處理,包括:列入黑名單,限制訪問速率,隨機丟棄請求等。針對流行的 DDoS/CC 流量型攻擊,DDoS 高防服務可以通過雲端清洗集群、資料庫監控牽引系統等技術進行有效的削弱。

市面上的「高防伺服器」、「高防服務」有很多,但資源是無底洞,選擇高防服務可以從安全性、易用性、成本效益等方面來考量。其中安全性是核心,不能緩解攻擊的,再便宜也是白扔錢。安全性的決定因素:
  • 伺服器和帶寬資源。主流雲服務商的高峰服務都可以防護 SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood、HTTP Flood等常見的攻擊類型,以及針對應用層的 CC 攻擊,但最終能否防護成功還要看廠商可防護帶寬的大小。比如網易雲易盾 DDoS 高防服務,提供 1T 超大防護帶寬,單 IP 防護能力最大可達數百 G,就是認為超大帶寬才能從容應對超大流量攻擊。
  • 流量分析能力。唯有基於海量數據分析,進而對合法用戶進行模型化,才能對 DDoS 流量進行精確清洗。藉助網易雲易盾 DDoS 高防服務,用戶可以通過配置高防 IP,將攻擊流量引流到高防 IP,抵禦超大流量 DDoS 攻擊。
  • 彈性擴展能力。DDoS 流量巨大,防護系統支持彈性擴展,採用基礎預付費+彈性後付費,既可以在避免帶寬浪費的前提下進行有效防護,又可以節約成本。

利益相關:網易雲易盾 DDoS 高防服務,提供 1T 超大防護帶寬,承載過大話西遊、陰陽師、倩女幽魂等大型網遊的高並發量,支持 TCP、UDP、HTTP/HTTPS 等協議,可以免費試用

推薦閱讀:
相关文章