如何防御DDOS等流量攻击

  • 时间:
  • 浏览:0
  • 来源:神彩大发11选5_彩神大发11选5官方

10

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

29

7

        fastcgi_index index.php;

          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

6

16

另外机会想使用高防,你源站IP也须要先切换到5个 新的IP,机会旧的机会暴漏,机会不换IP,机会因为着对方直接攻击你源站,或者 切换到新IP后,400端口也只允许高防IP获取数据。

        include fastcgi.conf;

13

5

          proxy_headers_hash_bucket_size 6400;

1

2

    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|mp3)$ {

-A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,400400 -j ACCEPT

下面是我考察行业内的方案,选则5个比较好的,有钱虽然我也想选则阿里云盾或腾讯大禹,机会亲戚亲戚大伙儿防御配置简单,或者 是分布式防御,跟CDN加速一样,攻击全部都是转发到就近的高防节点,类式:上海电信的攻击量就直接在上海电信高防防御,5个 还须要防御更多的攻击,或者 即使某节点被攻击垮了,也却说影响整个节点,这一 节点正常。

A、须要先配置转发功能

          proxy_headers_hash_max_size 51400;

}

另外机会你有多个域名,就写多个虚拟主机配置文件就好。

    error_log  /var/log/nginx/notice-error.log;

          proxy_set_header Host $host;

10

        listen 400;

6

电信单ip防御40g流量攻击/4000w pps,联通单ip防御10g流量攻击/4000w pps。

17

33

          proxy_pass http://web;

    access_log  /var/log/nginx/notice-access.log;

        fastcgi_pass  unix:/tmp/php-cgi.sock;

    }

    error_page 4002 = /4002.html;

        real_ip_header X-Real-IP;

B、配置iptables

15

:PREROUTING ACCEPT [9:496]

完成后重启nginx,或者 在iptables防火墙里设置只允许高防IP访问本人本地400.

方案一优势是配置简单,配置好iptables规则后,不须要管后端源站有十十几个 域名,只须要流量是通欠缺防统统有转发到源站,但缺点是源站无法获取客户的真实IP。

12

sysctl -w net.ipv4.ip_forward=1

400

4

C、在源站的nginx里配置

 本文转自 reinxu 51CTO博客,原文链接:http://blog.51cto.com/dl528888/1902274,如需转载请自行联系原作者

24

11

16

-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP

15

5

COMMIT

    }

    location ~ .*\.(js|css)?$ {

31

:OUTPUT ACCEPT [0:0]

-A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 400 -j DNAT --to-destination 源站IP:源站web端口

*nat

5

    }

9

21

:FORWARD ACCEPT [37:2232]

        proxy_set_header Host $host;

        error_log  /var/log/nginx/error_notice.log;

22

目前高防方案都能能防护400G以下攻击,机会攻击超过400G,让人选则阿里云盾的,还须要最高支持400G的,另外真的却说超过了400G攻击,让人联系网监了。

    server {

*filter

17

14

18

最后你须要在iptables里开通本机400允许公网访问。

    index index.html index.htm index.php;

12

        listen       400;

9

当前这5个 方案,都得结合DNS技术,须要把高防的IP解析到域名,一般高防多节点会让人5个 IP,5个 是电信,5个 是联通,统统有你须要在DNS里解析这5个 IP,我使用DNSPOD,统统有让人参考下面

7

    root  /var/www/html/;

1

14

COMMIT

1

-A INPUT -i lo -j ACCEPT

2

28

但价格太贵(机房的流量清洗更贵,哈哈),公司不批,为了保证业务,都能能选则价格便宜、性价比高的高防,我选则的是40G 电信+联通节点的方案最大整个高防还须要防御400G,目前我这里攻击全部都是40G以下,正好满足需求,此方案细节为:

--with-http_realip_module

1

1、最近1周,总共受到流量攻击14次,均是UDP攻击;

    }

20

1

B、在高防的nginx的里配置

18

18

须要修改upstream web里的server源站ip与端口,以及server_name那里的域名。

        server xxx.xxx.xxx.xxx:400;

11

先给亲戚亲戚大伙儿看看我最近遭受攻击具体情况数据汇总

3

有了高防节点,让人选则5个 方案进行配置:

针对顶端高防电信IP、高防联通IP、源站IP、源站web端口、公司机房网段进行修改。

19

下面介绍机会使用iptables的dnat与nginx反向代理。

2、使用nginx的反向代理技术;

自从使用了高防方案,总共遭受了5次攻击,但均未影响业务。

server {

下面是我针对攻击量做的防御方案,亲戚亲戚大伙儿还须要参考。

          proxy_redirect off;

11

这一 模板默认yum安装是已占据 ,机会别问本人有哪十十几个 模块还须要使用下面命令查看

好十十几个 月没写博客,一方面是工作忙因为着,一方面是内容过深,没哪十十几个 实际应用的我却说想写,现在正好最近遭受了一定量的UDP攻击,我给亲戚亲戚大伙儿介绍一下我这里是如保防御DDOS等流量攻击。

主要须要修改的是server_name与set_real_ip_from,后者是须要填写高防的IP。

          proxy_set_header X-Real-IP $remote_addr;

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

6

21

        proxy_redirect off;

20

8

方案二优势是还须要获取让源站获取客户真实IP,缺点是源站有十十几个 域名都须要在nginx的反向代理里配置。

10

-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP

-A INPUT -p icmp -j ACCEPT

yum或编译都行,但机会想让源站获取真实用户IP须要新增模块(高防与源站都须要有此模块)

15

9

3

19

        location / {

4

        proxy_set_header X-Forwarded-For $remote_addr;

        proxy_read_timeout 400;

2、前9次均是机房帮忙进行流量牵引、清洗或黑洞;

:OUTPUT ACCEPT [400:21620]

20

:INPUT DROP [79:4799]

}

          proxy_set_header X-Forwarded-For $remote_addr;

在"线路类型"这里,默认与电信线路都解析到高防的电信里,联通就解析到联通里,TTL时间最好能短这一 ,机会有疑问还须要快速切换,但机会我这一 是免费dnspod,统统有都能能是4000秒了。

        access_log  /var/log/nginx/access_notice.log;

    location / {

19

7

2

联通防御10G,因为着是联通内网管控严格,基本攻击全部都是从电信来的。

        expires      400d;

12

    }

1

        proxy_set_header X-Real-IP $remote_addr;

        }

1、最简单的使用Iptables的DNAT技术,直接让流量通欠缺防后,转发到源站;

4

    location ~ .*\.(php|php5)?$ {

    server_name notice1.ops.xxx.xxx;

2

        set_real_ip_from xxx.xxx.xxx.xxx;

23

3、但机房还须要给清洗的量有限,基本8G以下还须要帮忙,或者 这一 清洗有的机房是收费,全部都是免费,8G以上搞笑的话,机房就得把流量牵引到黑洞,也却说封IP,一般是禁止访问2小时,机会解封后还有多次攻击,就得封24小时,目前我这里是受到封IP,直接更换公网IP,但最近几天攻击此时不必 ,突然被动更换ip也也5个 好的依据,统统有我这里考察了统统有方案,最终采用了高防,价格便宜、性价比高

27

        expires      12h;

完成后重启iptables就还须要生效(dnspod的配置别忘记),源站不须要修改任何配置。

        server_name notice1.ops.xxx.xxx;

-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

upstream web {

17

-A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 400 -j DNAT --to-destination 源站IP:源站web端口

:POSTROUTING ACCEPT [0:0]

25

32

2、Nginx的反向代理

13

        client_max_body_size 10M;

8

26

13

A、安装

14

我公司也全部都是都能能防护依据,有IPS与IDS设备,全部都是防火墙,一般小流量4G以下均能防御,但攻击量超过4G后,流量基本都无法到达我公司网络,统统有都能能采用这一 方案。

8

3

1、IPTABLE的DNAT

16

猜你喜欢

鬼泣5维吉尔的堕落与鬼泣5哪个好玩点

特别推荐你对这一回答的评价是?扫描二维码下载使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。你对这一回答的评价是?展开删剪换一换本回答由提问者推荐展开

2020-02-23

Jquery 图片延迟加载技术

所加载的图片,需用设置他的高和宽。最后,通过有有一个 简单的例子加以示范:@陈卧龙的博客 参考网址:http://code.ciaoca.com/jquery/lazyloa

2020-02-23

论移动开发项目的泛质量管理

阿里云技术专家字白在2017云栖大会·北京峰会中做了题为《论移动开发项目的泛质量管理》的分享,就整体介绍,专有云需求痛点,专有云方案介绍,硬件平台,线上高可用等方面的内容做了深

2020-02-23

构建高性价比的云上大数据平台

为您提供简单高效、防止能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维带宽单位,降低IT成本,使您更专注于核...大数据开发套件(DataIDE),提供可视

2020-02-23

意大利留学第二年没过两科的话怎么办理续居留?

为你推荐:有点痛 推荐你对你这个回答的评价是?扫描二维码下载下载百度知道APP,抢鲜体验 我来答使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。有1

2020-02-23