我们知道,服务器对外提供的服务基本都是放在公网上的。所以放在公网上的服务器会面临很多攻击。如果不采取必要的保护措施,服务器被攻击只是时间问题。
在我们面临的众多攻击中,DDoS攻击是最常见、影响最大的一种。DDoS是一种分布式拒绝服务攻击。攻击者将连接多台计算机向同一台服务器发出请求。因为每台服务器其实都有资源、带宽、计算的瓶颈,尤其是一些带宽小、内存小、CPU计算能力低的服务器面对更多的请求时,服务器的负载瞬间上升,带宽被占用,导致其他服务器无法处理其他合法用户的正常请求。
本质上,DDoS带来的请求也是正常请求,所以DDoS防护很难。但是,如果我们隐藏服务器的真实IP,就可以大大降低DDoS攻击的可能性。
隐藏服务器真实IP的手段有哪些?我认为有以下几种方案:
1.禁用服务器ICMP回应响应。
互联网上有很多服务器。一般来说,我们在公网上的服务器需要一段时间才能被找到。攻击者将通过IP段扫描幸存的机器。一个IP一旦被扫描,就会有回音,说明这个IP是活的,会被攻击者记录下来。所以我们要关闭echo功能,让服务器在别人扫描的时候没有反应,避免被发现。
Windows Server或Linux都可以通过防火墙关闭ICMP echo功能。
* Windows服务器操作方法:
控制面板“查看模式”大图标“Windows防火墙”高级设置“入站规则”找到“文件和打印机共享(echo request -ICMPv4-In)”和“文件和打印机共享(echo request -ICMPv6-In)”,然后选择“启用”和“阻止连接”,如下图所示:
* Linux服务器操作方法:
# vi /etc/sysconfig/iptables
添加一些规则,如下所示:
2.使用CDN隐藏源站的真实IP
本来CDN是用于内容分发的,主要是资源加速,但是CDN本身可以看作是代理服务器,所以可以隐藏源站的IP。另外,CDN节点有一定的保护功能,所以当DDoS攻击时,CDN可以帮助我们分担很多流量,对源站的影响较小。
3.使用高IP保护
通过主IP转发,使源服务的真实IP得以隐藏。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 lk2768783601@gmail.com 举报,一经查实,本站将立刻删除。
