• 如何通过隐藏服务器真实IP来防御DDOS攻击


    我们知道,服务器对外提供服务,基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击,如果不做好必要的防护措施,服务器被人攻击只是时间上的问题

    而我们面临的众多攻击中,DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击,发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的,特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时,服务器负载瞬间上涨、带宽被占满,导致其它服务器无法处理其它合法用户的正常请求

    从本质上说,DDoS带来的请求也是正常请求,所以DDoS防护较难。但是,如果我们把服务器的真实IP隐藏起来,那可以很大程度减小DDoS攻击的可能。

    有哪些手段可以隐藏服务器真实的IP呢,我觉得主要有以下几种方案:

    1、禁用服务器ICMP回显响应

    互联网上的服务器众多,一般情况下我们在公网上的服务器被人发现是要一段时间的,攻击者会通过IP段来扫描存活的机器,一旦扫描到某个IP时有回显,说明此IP是存活的,就会被攻击者记录下来,所以我们要关闭回显功能,这样别人扫描时服务器没有响应,可以避免被人发现。

    不管是Windows Server还是Linux都可以通过防火墙来关闭ICMP回显功能。

    * Windows Server 操作方法:

    开始程序 Windows系统 右上角查看方式“大图标” Windows 防火墙 》左侧“高级设置”》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击,然后选中“已启用”和“阻止连接”,如下图示:

    * Linux服务器操作方法:

    # vi /etc/sysconfig/iptables

    添加几条规则,如下图示:

    -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

    -A INPUT -p icmp -j DROP

    1. 利用CDN隐藏源站真实IP

    CDN:当一个服务器被不同地方的客户端大量访问的时候,服务器可能会出现压力,为了减小这些压力,就有CDN的出现。还有一个作用就是隐藏真实IP。

    原理

    让CDN转发合法的http或者https流量来达到隐藏的目的。

    效果

    受害主机上只会有跟CDN的IP通信的流量,不会有跟真实C2通信的流量,可以保护C2的IP,但是域名还是会暴露

    1. 使用高防IP

      什么是高防IP?高防IP是指高防机房所提供的ip段,主要是针对互联网服务器遭受大流量DDoS攻击时进行的保护服务。高防IP目前最常用的一种防御DDoS攻击的手段,用户可以通过配置DDoS高防IP,将攻击流量引流到高防IP,防护系统进行流量过滤清洗,再把正常的流量返回给服务器,确保源站的正常可用

    通过主防IP转发,这样就能隐藏源服真实IP。

  • 相关阅读:
    目标检测——YOLOv2算法解读
    2022年服装进销存软件排行榜重磅出炉!
    混合IP-SDN网络实现统一智能管理目前需要解决的问题
    Linux下编译libevent源码
    【C++】一些特殊类的实现
    redis哨兵机制
    持续集成部署-k8s-资源调度:StatefulSet
    聊聊FASTER和进程内混合缓存
    【知识点】图与图论入门
    19.工厂模式能解决啥问题
  • 原文地址:https://blog.csdn.net/a38417/article/details/136505461