18禁午夜福利在线播放,国产精品民宅偷窥盗摄,裸体美女扒尿口喷白浆 http://www.330518.com/news 提供虛擬主機(jī)幫助信息 Mon, 30 Oct 2023 02:58:59 +0000 zh-CN hourly 1 https://wordpress.org/?v=4.1.41 ddos硬件防火墻 防ddos的防火墻推薦 http://www.330518.com/news/?p=1724 http://www.330518.com/news/?p=1724#comments Thu, 14 Dec 2017 08:34:54 +0000 http://www.330518.com/news/?p=1724 什么是DDOS?

本文開(kāi)始之前,小編把小編的經(jīng)驗(yàn)告訴大家

如果是公司或者托管到其他機(jī)房的網(wǎng)站,不需要自己假設(shè)。,只需要租用或者托管有防火墻的機(jī)房即可,如果沒(méi)有怎么辦?

那么就利用市場(chǎng)上領(lǐng)先的CDN吧,用了CDN,幾十個(gè)IP,不可能各個(gè)打死吧,在說(shuō)一般CDN商都會(huì)把節(jié)點(diǎn)放在抗攻擊的機(jī)房里面。

這個(gè)是目前最省錢的方式。

而且市場(chǎng)上有免費(fèi)的CDN防火墻。

1:上海云盾。

2:百度云加速。

3:360網(wǎng)站安全衛(wèi)士

 

DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)攻擊),很多DOS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDOS攻擊,DDOS 最早可追溯到1996年最初,在中國(guó)2002年開(kāi)始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模。

 

分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常,攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。[1]

DDOS攻擊

DDoS攻擊通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源,以達(dá)到服務(wù)器癱瘓網(wǎng)絡(luò)的目的,通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊;令瓦還可以向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷;或阻斷某一用戶訪問(wèn)服務(wù)器;甚至阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊,達(dá)到破壞的作用。

通俗的說(shuō),DDoS攻擊就指向一臺(tái)性能與網(wǎng)絡(luò)寬帶有限的服務(wù)器短期發(fā)動(dòng)大量的訪問(wèn)請(qǐng)求,直到服務(wù)器或者寬帶承受極限,從而導(dǎo)致后期服務(wù)器無(wú)法正常運(yùn)行的目的。

 

硬件防火墻品牌排名:
Juniper
華為賽門鐵克
思科
H3C
天融信
山石網(wǎng)科
飛塔
聯(lián)想網(wǎng)御
NETGEAR
啟明星辰

熱門防火墻排名:
Juniper SSG-140-SH
華為賽門鐵克USG2210
CISCO ASA5510-K8
H3C SecPath U200-CS-AC
天融信NGFW4000-UF(TG-5130)
Hillstone SG-6000-M2105
FORTINET FortiGate-110C
NETGEAR FVS318
聯(lián)想網(wǎng)御Power V-220UTM
啟明星辰USG-FW-810C

 

 Dosnipe防火墻:

Dosnipe防火墻硬件架構(gòu)部分主體采取工業(yè)計(jì)算機(jī)(工控機(jī)),可以承受惡劣的運(yùn)行環(huán)境,保障設(shè)備穩(wěn)定運(yùn)行;軟件平臺(tái)是FreeBSD,核心部分算法是自主研發(fā)的單向一次性非法數(shù)據(jù)包識(shí)別方法,所有的Filter機(jī)制都是在掛在驅(qū)動(dòng)級(jí)。可以徹底解決所有dos/DDoS攻擊(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全連接等),針對(duì)CC攻擊,已推出DosNipe V8.0版本,此核心極其高效安全,在以往抵御一切拒絕服務(wù)攻擊的基礎(chǔ)上,新增加了抵擋CC攻擊,新算法可以高效的抵御所有CC攻擊及其變種,識(shí)別準(zhǔn)確率為100%,沒(méi)有任何誤判的可能性。

Dosnipe防火墻去年升級(jí)之后,具備更多的新特性:

·徹底解決最新的M2攻擊。

·支持多線路,多路由接入功能。

·支持流量控制功能。

·更強(qiáng)大的過(guò)濾功能。

·最新升級(jí),徹底高效的解決所有DDoS攻擊,cc攻擊的識(shí)別率為100%

 黑洞抗DDOS防火墻

黑洞抗DDOS防火墻是國(guó)內(nèi)IDC中應(yīng)用比較廣泛的一款抗DoS、DDoS攻擊產(chǎn)品,其技術(shù)比較成熟,而且防護(hù)效果顯著,已經(jīng)得到各大IDC機(jī)構(gòu)的共同認(rèn)可。黑洞目前分百兆、千兆兩款產(chǎn)品,分別可以在相應(yīng)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)對(duì)高強(qiáng)度攻擊的有效防護(hù),性能遠(yuǎn)遠(yuǎn)超過(guò)同類防護(hù)產(chǎn)品。千兆黑洞主要用于保護(hù)骨干線路上的網(wǎng)絡(luò)設(shè)備如防火墻、路由器,百兆黑洞主要用于保護(hù)子網(wǎng)和服務(wù)器,使用多種算法識(shí)別攻擊和正常流量,能在高攻擊流量環(huán)境下保證95%以上的連接保持率和95%以上的新連接發(fā)起成功率,核心算法由匯編實(shí)現(xiàn),針對(duì)Intel IA32體系結(jié)構(gòu)進(jìn)行了指令集優(yōu)化。對(duì)標(biāo)準(zhǔn)TCP狀態(tài)進(jìn)行了精簡(jiǎn)和優(yōu)化,效率遠(yuǎn)高于目前流行的SYN Cookie和Random Drop等算法。

  黑洞所帶來(lái)的防護(hù):

·自身安全:無(wú)IP地址,網(wǎng)絡(luò)隱身。

·能夠?qū)YN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各類DoS攻擊進(jìn)行防護(hù)。

·可以有效防止連接耗盡,主動(dòng)清除服務(wù)器上的殘余連接,提高網(wǎng)絡(luò)服務(wù)的品質(zhì)、抑制網(wǎng)絡(luò)蠕蟲(chóng)擴(kuò)散。

·可以防護(hù)DNS Query Flood,保護(hù)DNS服務(wù)器正常運(yùn)行。

·可以給各種端口掃描軟件反饋迷惑性信息,因此也可以對(duì)其它類型的攻擊起到防護(hù)作用。

金盾抗DDOS防火墻

金盾抗DDOS防火墻由合肥中新軟件有限公司開(kāi)發(fā),是一款針對(duì)ISP接入商、IDC服務(wù)商開(kāi)發(fā)的專業(yè)性比較強(qiáng)的專業(yè)防火墻。適用于Internet平臺(tái)所有企業(yè)與個(gè)人用戶,尤其對(duì)一些大型的娛樂(lè)站點(diǎn)和重要企業(yè)站點(diǎn)的網(wǎng)絡(luò)流暢起到了重要的安全保護(hù)作用。

產(chǎn)品目前采用了最底層驅(qū)動(dòng)技術(shù),提供完善的面向連接操作。公司在長(zhǎng)期ISP運(yùn)營(yíng)和致力于網(wǎng)絡(luò)安全的研究過(guò)程中,研究和發(fā)明了一種防御和抵抗拒絕服務(wù)攻擊的解決辦法。測(cè)試的效果表明,目前的防御算法對(duì)所有已知的拒絕服務(wù)攻擊是免疫的,也就是說(shuō),是完全可以抵抗已知DoS/DDoS攻擊的。

金盾抗DDOS防火墻可以抵御多種拒絕服務(wù)攻擊及其變種,可防各類 DoS/DDoS攻擊,如 SYN Flood、TCP Flood,UDP Flood,ICMP Flood及其各種變種如Land,Teardrop,Smurf,Ping of Death等。

據(jù)說(shuō)全國(guó)有近半的電信和網(wǎng)通機(jī)房都有其產(chǎn)品,金盾防火墻是專門針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻,該設(shè)備采用自主研發(fā)的新一代抗拒絕攻擊算法,可達(dá)到10萬(wàn)-100萬(wàn)個(gè)并發(fā)攻擊的防御能力,同時(shí)對(duì)正常用戶的連接和使用沒(méi)有影響。專用得體系結(jié)構(gòu)可改變TCP/IP的內(nèi)核,在系統(tǒng)核心實(shí)現(xiàn)防御拒絕攻擊的算法,并創(chuàng)造性的將算法實(shí)現(xiàn)在網(wǎng)絡(luò)驅(qū)動(dòng)層,效率沒(méi)有受到限制。同時(shí)可防御多種拒絕服務(wù)攻擊及其變種,如:SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其變種Land、Teardrop、Smurf、Ping of Death等等。

  分析:

當(dāng)然也有一些技術(shù)人員提出觀點(diǎn),認(rèn)為從原則上說(shuō),上面類似產(chǎn)品不能說(shuō)是防火墻,應(yīng)該說(shuō)一種異常流量清洗系統(tǒng);現(xiàn)在的DDOS防御技術(shù)在防火墻也有,但防火墻的能力有限,不能很深入的針對(duì)每一個(gè)閥值參數(shù)進(jìn)行分析和執(zhí)行,而只有一個(gè)執(zhí)行,而且執(zhí)行的度量是定死了;沒(méi)有一個(gè)學(xué)習(xí)后再細(xì)化,這就是防火墻的弱點(diǎn),但這種產(chǎn)品一般是在高帶寬流量的環(huán)境應(yīng)用,說(shuō)白一點(diǎn),是放到運(yùn)營(yíng)商上面應(yīng)用,所以產(chǎn)品的性能要求十分嚴(yán)苛,要經(jīng)得起考驗(yàn),這不是鬧著玩;因?yàn)檫@套東西,運(yùn)營(yíng)商拿去也是給增值服務(wù)客戶應(yīng)用的,要收錢的,如果不能抵御一定流量的攻擊客戶肯定會(huì)翻臉。

那么,大家最關(guān)心的問(wèn)題:這些硬件防火墻到底能不能防DDOS呢?

  這些硬件防火墻到底能不能防DDOS:

大體上說(shuō)是可以的,根據(jù)我們的了解,國(guó)內(nèi)大部分機(jī)房都是表示金盾效果還過(guò)得去,黑洞效果則更好一些,而Dosnipe由于合作的機(jī)房相對(duì)要少一些,所以收到的反饋意見(jiàn)不多,不過(guò)西南地區(qū)的一個(gè)電信機(jī)房代理商告訴我機(jī)房加裝Dosnipe防火墻之后確實(shí)杜絕了不少普通流量的攻擊。

但是,如果DDoS攻擊者加大攻擊的流量,大量消耗機(jī)房的出口總帶寬時(shí),任何一款防火墻都相當(dāng)于擺設(shè),因?yàn)椴还芊阑饓μ幚砟芰τ卸鄰?qiáng),出去的帶寬已經(jīng)被耗盡了,整個(gè)機(jī)房在外面看來(lái)就都是處于掉線狀態(tài),就像一個(gè)大門已經(jīng)擠滿了人,不管你在門里安排多少個(gè)警衛(wèi)檢查都沒(méi)用,外面的人還是進(jìn)不來(lái),而現(xiàn)在的攻擊者的行為大部分是出于商業(yè)目的,動(dòng)輒G級(jí)別的攻擊,一些機(jī)房本來(lái)帶寬就不是很足夠,一遭到大流量的攻擊肯定是整個(gè)機(jī)房大面積掉線,防火墻雖然檢測(cè)到攻擊,也只能是過(guò)濾掉那些非法數(shù)據(jù)包,保護(hù)內(nèi)部的網(wǎng)絡(luò)設(shè)備和服務(wù)器不受重創(chuàng),但掉線是機(jī)房總帶寬不足所導(dǎo)致,用再好的防火墻都無(wú)濟(jì)于事。

因此,即使很多機(jī)房都號(hào)稱采用多好的硬件防火墻,可以防御多大流量的攻擊,但如果你的服務(wù)器真的遭到大流量攻擊,機(jī)房還是不敢放你進(jìn)去,因?yàn)闀?huì)影響到其他服務(wù)器的正常訪問(wèn),而且托管一臺(tái)服務(wù)器收取的費(fèi)用本來(lái)就不多,為了做成這么一筆小生意而招惹大麻煩,運(yùn)營(yíng)商肯定覺(jué)得不劃算,最可憐的還是那些機(jī)房的網(wǎng)管人員,得手忙腳亂的封IP。

現(xiàn)今的IDC市場(chǎng)基本上已經(jīng)到了缺乏有效的拒絕服務(wù)攻擊防御手段將無(wú)法進(jìn)行穩(wěn)定的IDC業(yè)務(wù)運(yùn)營(yíng)的境地。
近年來(lái),隨著木馬、病毒的日益泛濫,互聯(lián)網(wǎng)拒絕服務(wù)攻擊的頻度和攻擊流量也隨之急速增加,在攻擊方式、攻擊技術(shù)和攻擊資源不斷成熟的同時(shí),抗拒絕服務(wù)的相關(guān)軟硬件產(chǎn)品也獲得了長(zhǎng)足的發(fā)展?,F(xiàn)今的IDC市場(chǎng)基本上已經(jīng)到了缺乏有效的拒絕服務(wù)攻擊防御手段將無(wú)法進(jìn)行穩(wěn)定的IDC業(yè)務(wù)運(yùn)營(yíng)的境地。
但拒絕服務(wù)防御產(chǎn)品種類繁多,價(jià)格差異也非常大,從幾百元安裝在目標(biāo)服務(wù)器上對(duì)單臺(tái)服務(wù)器進(jìn)行保護(hù)的軟件防火墻到幾萬(wàn)甚至十幾萬(wàn)元的百兆、千兆硬件防火墻,包括新出現(xiàn)的提供硬件防火墻方案并協(xié)助客戶DIY硬件防火墻的實(shí)惠的替代方案等,客戶往往無(wú)所適從,尤其對(duì)DIY硬件防火墻所使用的相關(guān)技術(shù)、防御能力等不了解,使其在選擇時(shí)往往無(wú)所適從。
在使用過(guò)各種拒絕服務(wù)攻擊DDOS防火墻防御產(chǎn)品和方案后,本文筆者將就現(xiàn)今主流的拒絕服務(wù)攻擊方式、相應(yīng)防御手段及對(duì)應(yīng)的防御策略來(lái)剖析現(xiàn)今各種主流攻擊防御手段的優(yōu)劣因?yàn)榫芙^服務(wù)攻擊,IDC行業(yè)進(jìn)入門檻無(wú)形被提升了許多。對(duì)IDC市場(chǎng)了解的投資者在進(jìn)行IDC機(jī)房投資時(shí)時(shí)不得不考慮相應(yīng)的拒絕服務(wù)攻擊防御策略。目前可供選擇的拒絕服務(wù)攻擊(DDoS)解決方案大概分為:
1、 軟件防火墻解決方案
2、 硬件防火墻解決方案
3、 DIY硬件防火墻解決方案
第一節(jié) 成本比較
對(duì)于IDC運(yùn)營(yíng)而言,從成本和防御特點(diǎn)上分線,其優(yōu)缺點(diǎn)如下:
1、 軟件防火墻解決方案因?yàn)槭前惭b在被保護(hù)的服務(wù)器上,其防御能力和防御區(qū)域有限,在攻擊流量稍大的情況下,對(duì)目標(biāo)服務(wù)器硬件資源占用嚴(yán)重,且如果機(jī)房服務(wù)器數(shù)量較多,整體成本也很高。但軟件防火墻安裝方便,不用動(dòng)硬件設(shè)備,部署很靈活。
2、 硬件防火墻是目前IDC廣泛采用且能起到實(shí)際效果的防御方案,其缺點(diǎn)是投資成本過(guò)高,中小IDC很難接受,購(gòu)買成本一般在百兆產(chǎn)品在2-4萬(wàn)元,千兆在6-8萬(wàn)元左右。如果需要對(duì)高帶寬進(jìn)行防御,群集成本更高。
3、 新出現(xiàn)的DIY硬件防火墻方案。和軟件防火墻不同,DIY硬件防火墻方案是通過(guò)安裝在客戶自行準(zhǔn)備的硬件平臺(tái)上的內(nèi)核軟件實(shí)現(xiàn)和一般硬件防火墻相同的防御能力和防御功能。由于硬件平臺(tái)有用戶自行準(zhǔn)備,所以可以利用現(xiàn)有設(shè)備,將整體擁有成本降至最低。一般而言,百兆防御成本大概為1000元每機(jī)房每月,千兆防御為1500元每月。
對(duì)于防御能力而言,軟件防火墻因?yàn)槠淠J缴系娜毕?,無(wú)法對(duì)整個(gè)機(jī)柜或機(jī)房建立保護(hù),過(guò)濾攻擊數(shù)據(jù)包時(shí)消耗的系統(tǒng)資源也會(huì)影響目標(biāo)系統(tǒng)的正常應(yīng)用,所以在這里不予評(píng)價(jià)。
現(xiàn)在硬件防火墻全部是X86架構(gòu),通俗來(lái)說(shuō),防火墻硬件就是一臺(tái)電腦,并不是專門用于網(wǎng)絡(luò)處理的專用處理芯片,和DIY硬件防火墻防御模式相同,均能對(duì)整個(gè)機(jī)柜和機(jī)房進(jìn)行保護(hù),并能群集防御高流量攻擊,所以我們將視線集中在硬件防火墻和DIY硬件防火墻上。
防御能力及整體擁有成本對(duì)比:
從擁有成本對(duì)表表格來(lái)看,硬件防火墻作為主流防御手段,其整體擁有成本也很高,作為折中方案的DIY硬件防火墻,其提供的按月收取服務(wù)費(fèi)的方式倒是很好的解決了IDC面臨的資金壓力和投資風(fēng)險(xiǎn)等問(wèn)題。
第二節(jié) 防御功能對(duì)比(攻擊方式篇)
談到防御功能,我們就不能不分析一下目前國(guó)內(nèi)互聯(lián)網(wǎng)上主要的拒絕服務(wù)攻擊手段,現(xiàn)今互聯(lián)網(wǎng)上主要使用的攻擊手段有:SYN-FLOOD:老牌DDOS攻擊方式,利用TCP協(xié)議三次握手的弱點(diǎn)發(fā)起的攻擊,特點(diǎn)是攻擊源地址是虛假地址,不容易跟蹤到攻擊源。攻擊者在單位時(shí)間內(nèi)構(gòu)造的TCP-SYN數(shù)據(jù)包數(shù)量越多,其攻擊效果就越顯著。
單一原址SYN攻擊:針對(duì)目前群集DDOS防火墻防御利用三層交換設(shè)備(如Cisco三層交換機(jī))進(jìn)行端口聚合和負(fù)載均衡時(shí)均衡算法的漏洞,使用真實(shí)的或者虛擬成單一源地址和相同的源端口進(jìn)行攻擊。此種攻擊方式在大部分三層交換設(shè)備上會(huì)通過(guò)單一線路進(jìn)行交換,從而削弱群集防御的效果。
真實(shí)原址SYN攻擊:針對(duì)某些軟件防火墻和硬件防火墻的防御原理,專門針對(duì)防火墻的反向?qū)ぶ贩烙绞桨l(fā)起的攻擊方式。最近兩年網(wǎng)絡(luò)傀儡機(jī)價(jià)值鏈的建立,使得真實(shí)原址SYN攻擊成為現(xiàn)在互聯(lián)網(wǎng)上較多的一種攻擊方式,攻擊者通過(guò)控制的眾多的傀儡機(jī)進(jìn)行攻擊數(shù)據(jù)包的發(fā)送。
SYN大包攻擊:和一般SYN攻擊不同,SYN大包攻擊是通過(guò)構(gòu)造超大的TCP數(shù)據(jù)包,造成被攻擊目標(biāo)網(wǎng)絡(luò)堵塞的方式達(dá)到攻擊效果,和普通SYN不同,發(fā)起同樣流量的攻擊,發(fā)送超大數(shù)據(jù)包占用發(fā)送端的系統(tǒng)資源更少。
UDP大包攻擊:相對(duì)于TCP協(xié)議數(shù)據(jù)包而言,攻擊端僅需要更少的系統(tǒng)資源就能構(gòu)建出UDP數(shù)據(jù)包,這也為攻擊者大肆發(fā)送UDP攻擊包提供了條件,UDP攻擊一般是通過(guò)超大數(shù)據(jù)包堵塞網(wǎng)絡(luò)帶寬來(lái)實(shí)現(xiàn)。
代理CC攻擊:最初由中華攻客的攻擊軟件引發(fā)的互聯(lián)網(wǎng)大量代理CC攻擊。通過(guò)收集互聯(lián)網(wǎng)上出現(xiàn)的大量免費(fèi)開(kāi)放代理服務(wù)器,通過(guò)對(duì)這些服務(wù)器提交大量針對(duì)攻擊目的地址的訪問(wèn)請(qǐng)求,由代理服務(wù)器中轉(zhuǎn)進(jìn)行的攻擊。代理CC攻擊因其發(fā)起端僅需要一條普通寬帶線路,其攻擊地址又是真實(shí)地址(代理服務(wù)器地址),曾一度使得眾多網(wǎng)絡(luò)運(yùn)營(yíng)者深受其害。
SYN-ACK、PSH-ACK等:針對(duì)TCP連接的各種弱點(diǎn)發(fā)起的攻擊方式。
傳奇DB攻擊:專門針對(duì)傳奇數(shù)據(jù)庫(kù)的攻擊方式,也是由中華攻客最先寫的攻擊程序,其攻擊方式是模擬傳奇客戶段賬號(hào)創(chuàng)建動(dòng)作,使得傳奇服務(wù)器癱瘓。
傳奇刷小人攻擊:通過(guò)不停的上下線和模擬登陸,使得傳奇服務(wù)器癱瘓。
以上的相關(guān)內(nèi)容就是對(duì)主流硬件DDOS防火墻防御功能對(duì)比的介紹,望你能有所收獲。

在果殼網(wǎng)任職期間經(jīng)歷過(guò)多次DDoS攻擊。那種絕望的心情,還歷歷在目。問(wèn)題不是你能做什么,而是機(jī)房決定了其實(shí)你什么都做不了。

攻擊者是控制一個(gè)足夠大的分布式集群來(lái)發(fā)起攻擊,各種雜七雜八的包,什么都會(huì)有。根本不在乎你開(kāi)的什么服務(wù),也沒(méi)那耐心分析你有什么服務(wù)。比如哪怕你根本沒(méi)開(kāi)UDP的任何服務(wù),但他就是發(fā)一大堆UDP的包,把你帶寬占滿。還有啥辦法。

十多年前的OS還沒(méi)法應(yīng)付大量TCP并發(fā)連接,于是那個(gè)年代有個(gè)SYN flood攻擊,就是一大堆SYN包嘗試握手。現(xiàn)代也有,效果大不如前,但是仍然在大流量下可以阻塞受害者的通信能力。

更現(xiàn)實(shí)的問(wèn)題在于,機(jī)房的總帶寬有限。當(dāng)你的服務(wù)器IP段受到攻擊時(shí),他會(huì)直接找上級(jí)接入商將發(fā)給你的包在主干網(wǎng)上都丟掉。此時(shí)雖然知道自己正在被DDoS攻擊,但攻擊包根本就沒(méi)到機(jī)房,更別說(shuō)服務(wù)器,于是只能是守著服務(wù)器,毫無(wú)流量,等待。

上級(jí)接入商大多是壟斷國(guó)企,根本沒(méi)耐心跟你做任何深層次合作,直接丟包是最簡(jiǎn)單方便的方法。同時(shí),即便此時(shí)攻擊者停止了攻擊,你也不知道。而想要上級(jí)接入商重新開(kāi)啟給你的包轉(zhuǎn)發(fā),動(dòng)則就是個(gè)一天的流程。而一旦發(fā)現(xiàn)攻擊還沒(méi)完,就立刻又是丟包。

那幾年被攻擊時(shí),也火燒火燎的找辦法。嘗試將網(wǎng)站部署到云計(jì)算平臺(tái)上,依靠對(duì)方提供的帶寬冗余來(lái)頂。甚至可能只是拼短期帶寬的費(fèi)用。當(dāng)時(shí)國(guó)內(nèi)的云計(jì)算提供商試了好幾家,最終都因?yàn)闆](méi)有足夠的帶寬應(yīng)對(duì)攻擊而拒絕了我們。他們都是出于對(duì)果殼網(wǎng)的喜愛(ài)和免費(fèi)幫忙的,能做到這一步也挺不容易了。

有人提到攻擊弱點(diǎn),我感覺(jué)真正這樣花費(fèi)精力去分析的攻擊者其實(shí)不多見(jiàn)。不過(guò)大多攻擊確實(shí)會(huì)避開(kāi)一些明顯抗攻擊能力不錯(cuò)的點(diǎn),比如很多網(wǎng)站的首頁(yè)會(huì)做靜態(tài)化,所以攻擊首頁(yè)就不劃算。圖片同理,對(duì)CPU消耗太小了。

幾個(gè)常見(jiàn)的弱點(diǎn):

1、登錄認(rèn)證
2、評(píng)論
3、用戶動(dòng)態(tài)
4、ajax api

總之涉嫌寫數(shù)據(jù)庫(kù),聯(lián)表查詢,緩存澗出的都是好目標(biāo)。

所以,回答就是:沒(méi)有啥好辦法,耐心等待吧。

看了其他幾個(gè)回答提供的方案,分別分析一下:

1、拼帶寬:或者說(shuō)拼軟妹幣,這不是一點(diǎn)點(diǎn)錢能搞定的,果殼網(wǎng)彼時(shí)只買了不足100M帶寬,所在早期機(jī)房總帶寬也不足40G,攻擊帶寬都沒(méi)見(jiàn)過(guò)低于10G的(機(jī)房的人后來(lái)告訴我的)。假設(shè)某便宜機(jī)房(肯定不在北上廣深),帶寬價(jià)格為100元/M*月,每月按峰值計(jì)費(fèi)。則要買10G帶寬頂一下,需要的月費(fèi)是100萬(wàn),100萬(wàn)……

2、流量清洗&封IP:如前述,要這么做的前提是攻擊包至少要到你的機(jī)房。而機(jī)房自保的措施導(dǎo)致了數(shù)據(jù)包根本到不了機(jī)房,無(wú)解

3、CDN服務(wù):現(xiàn)代CDN提供商還沒(méi)有完善的動(dòng)態(tài)網(wǎng)頁(yè)加速技術(shù),所以結(jié)果就是,你充其量利用CDN保住靜態(tài)化的主頁(yè)可以訪問(wèn),其他任何動(dòng)態(tài)網(wǎng)站功能就只能呵呵了。

方法如下,自行選擇:

1 砸?guī)?,超過(guò)D的就好了;
2 封ip,寧可錯(cuò)殺一千,不放過(guò)一個(gè);
3 搞定實(shí)施D你的組織(一般不是競(jìng)爭(zhēng)對(duì)手),讓他停止D;
4 把服務(wù)器搞到讓組織D你的人的(比如競(jìng)爭(zhēng)對(duì)手)同一個(gè)機(jī)房。

上面方法,4的最奏效 @:@

---更新----
時(shí)間可以撕破任何裝X,遇到CC之類的攻擊,基本無(wú)解。

]]>
http://www.330518.com/news/?feed=rss2&p=1724 0