投稿

常见的攻击方式以及防护策略

优速盾-小U 网站百科 阅读 211

本文主要给大家介绍一下常见的几种网络攻击方式(包括CC,UDP,TCP)和基础防护策略!

1.0 常见的网络攻击方式

2.0 常见的网络攻击防护

网络攻击防护,在这里先说明一下,除了CC,其他以UDP,TCP,等等协议做为攻击方式的软件层面,拦截意义不大尤其是UDP,软件层面也是经过了网卡的,网卡也是接收了的,只是没有处理,这个时候关不关端口有区别吗,有区别的,区别大吗,不是很大,以下面例子为例!

一大帮乞丐(大量UDP) 来找王总门前要饭 不请自来(无连接)堵在大佬门口,大佬出不去,乞丐的进不来,这个时候开不开门有区别吗(开不开端口有区别吗)这个时候物业来赶人了,但是大佬还是出不来(运营商黑洞),等都赶走了,王总和物业去谈,物业给了两种方案,一种以后没有门卡都不让进(运营商上层路由屏蔽),第二种,花钱请一大帮子人专门为你这一户甄别(高防清洗),老王最终选择了搬家(换服务器,关站了)从此高枕无忧!

  • 下面是关于一些简单cc防护测试,专业的还是要找商业防火墙防护!

  • 我准备了两台测试机器,两台机器硬件配置和系统配置一模一样,克隆出来的,两台机器配置均为

    1. CPU:2核心 E52696V2
    2. 内存:4G
    3. 带宽:进100M出20M
    4. 系统盘:30G SSD

  • 两台机器均部署了Nginx挂载了一个简易导航页面(纯HTML单页面)!

    image-20220507041850772

  • 不同的是其中一台部署了开源Scout攻击检测工具其中一台单纯防火墙防护

  • Scout GitHub地址:https://github.com/ywjt/Scout 部署比较简单文档也有,需要注意是,它采用的是 iptables防火墙,Centos7x及Ubuntu需要停止系统自身防火墙并安装这个!

    1. 机器一 23.224.85.208 无防护

    2. 机器二 23.224.85.249 Scout防护

  • cc攻击测试,我们先拿没有防护的,进行简易CC压测(最简单的模拟访问)

    1. 存活时间15秒,第一波攻击直接挂了,带宽直接占满,因为没有业务处理所以CPU和io并无太大变化,但是带宽已经满了这个时候访问页面已经是无法访问了!

      image-20220507042928221

    image-20220507042735454

  • 同样的方式压测 23.224.85.249 Scout防护 看下

    1. 第一波攻击是没有太大问题,虽然连接数很高,但是 Scou进行屏蔽后带宽很快就降下来了!

    image-20220507043021837

    1. 当我们继续加大连接数后,与第一台没有区别了!

      image-20220507045115917

      image-20220507044132124

      image-20220507044859930

    2. 这只是普通cc,即便我们只采用本机防火墙,或者nginx ngx_waf 扩展也是能达到一定效果的!

  • 总结

    经过反复测试Scout对于简单cc攻击和一些压测软件发出的压测及简单TCP-syn,以及UDP攻击是有一定防护作用的,比没有强,但是这只是用的默认内置策略,有小伙伴有兴趣的话可以自定义策略试一下!

  • 上面主要测试的是cc攻击,下面就来说一下其他攻击比较通用的防护建议

    1. 说一下目前,我个人站点,对于CC ddos采用的策略

      1. 套一个腾讯阿里的cdn(要配置一下策略-设置单IP QPS频率,防止循环攻击和流量突增,这个量根据个人网站设置!)
      2. 关闭不需要的端口,包括UCP,IMCP,其他80 443也只允许CDN ip回源,目的就一个,让外界看来这个源站IP是一台死机!
      3. 为了攻击者抓不到你的源站ip,邮件服务要代理ssl也请做一下防护,其他方面等等,这里目的就是不让别人从web端发现源站IP!
      4. 以上做完能,防住吗,可以,能完全防住吗,不能,还有一个概率扫段,23.22.21.1-255就打他刚好你在这个段之中,中彩票了,整个段都了凉,这种情况一般只出现在海外CN2线路上尤其是香港,原因就是海外监管没那么严格,CN2带宽水管小!

    2. 其他通用建议

      1. 端口,WEB系统端口对外开放,只应该开放80和443,其他端口即便开放,也应该以授权ip的方式开放,蘑菇博客这种后端服务建议以Nginx代理的方式,对外只暴露80和443端口,不暴露后端端口,后端服务也只应该允许内网访问!
      2. 弱口令,市面上百分之80的肉鸡都是根据弱口令扫来的,防护住这个,不乱开端口,不下载第三方破解程序,你已经防护住了百分之90的入侵!

    3. 通用防护方式

      1. 采用商业防火墙
      2. 采用CDN
      3. 采用高防服务器
      4. 把网站做成静态页面

  • 所使用软件

    1. 压测软件,压测软件用了两种,这两种只能做简单压测,不能算攻击!

      SuperBenchmarker

      hping3

    2. 防护软件

      Scout攻击检测工具 https://github.com/ywjt/Scout

    3. 监控系统

      wgcloud https://www.wgstart.com/

    4. 参考(windows开启SYN cookies,可以大大加强抵御SYN攻击几十倍的提升)

      SYN cookies http://cr.yp.to/syncookies.html

  • 测试服务器赞助

    老七云:https://www.l7y.cn/ 美国120G高防 72元起,速度还不错!

版权归属: 泪梦红尘

本文链接: https://www.bss2.com/archives/network-attack-defend

原文链接:http://news.558idc.com/290332.html

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21066

(0)
优速盾-小U优速盾-小U
0 0
上一篇 2024年2月29日 07:18
下一篇 2024年2月29日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml