>前言,见到一个好友被不知名的来路无限的进行攻击,包含DD,CC之下,而且不知道怎么进行防御,然后导致了直接经济损失1600多元
损失1600多块
其实,我们本可以做一些防御来避免,却直接忽略了这一点,总是以为没有人会无缘无故攻击我们的个人小博客。但是,一个有一个案例表明,这种情况非常常见。
以下是部分个人可以实现的操作来尽量的规避这种损失。
我们将总体归为两个点来进行。
针对域名针对服务器
对于第一种情况,分析一下。如果是针对域名的攻击,那就意味着不管你服务器换了多少次,IP换了多少,这几乎都是没有用的,而这对站长来说就有点危险,大家都是不断地尽心打造一个域名,对方如果死怼域名,那么我们就很难受了。
一个DDOS或者CC,从发起攻击开始,到到达你的域名,再到服务瘫痪,这期间会经历几个步骤?
简答的理解就应该是这样:
攻击者服务器>>>DNS进行解析>>到达被攻击者服务器>服务瘫痪
知道了这个,我们才开始进行防御
针对域名的防御构建
对站长来说,尤其个人博客小型站点,很少有足够的资金能够去买得起大型高仿IP,高仿服务器。那么我们能够使用的一些手段很局限。
首推的肯定是:Cloudflare看下介绍:
cloudflare介绍
除此之外,它,是免费的!并且无限防御,无限流量。几乎没有第二家!
而接入cloudflare,所进行的防御步骤是在” DNS进行解析>>被攻击者服务器 “这一段。当接入cloudflare(俗称cf)后,他将会负责域名的解析与判断,从而过滤掉大部分的攻击,这一段如果配置好了,能够阻断非常多的攻击,比如著名的五秒盾,验证码盾等等都能够有效的抵御CC,DDOS的攻击。具体配置过程有些复杂,由于篇幅所限,便下次再说。而网上也有非常多的教程可以参考。
我们这里说下接入。
cloudflare的接入
cloudflare的接入。主流的有两种方式攻击网站需要多少钱,一种官方推荐的该NS记录为cloudflare提供的,另一种则是在cloudflare合作伙伴处接入。
cloudflare NS接入
这种接入的话,比较简单,但是定制化不强。
具体接入方法就是,先在[cloudflare][1]注册个账号>>>r然后添加域名(在这一步,它会自动复制你的域名解析记录)>>cloudflare提供它的NS记录给你>>>然后在阿里云增加NS记录为cloudflare的这个值
阿里云解析设置
cloudflare合作伙伴接入(推荐)
上面提供的那个方法呢,局限性较大,因为有时候我们想用CNAME,或者IP接入的方式对站点来说更为友好也能做到更隐蔽性。
所以我们会通过合作伙伴接入,国内比较受欢迎的:
比较推荐的话是笨牛的,比较成熟,当然由于图方便,我使用的是蒙牛的,但目前它还没正式开放注册。所以推荐使用笨牛,接入方法大同小异。
主流的都是两个方法:
具体接入方法
都只要在你域名提供商处修改下解析就行。
这里推荐不要添加指向源站IP的解析记录,可以有效防止源站IP泄露。(当然,如果大佬真要去找肯定是可以找到的,所以遇到这样,赶紧认怂。)
ps:如果不使用cdn,但想让网站少受类似攻击,目前来说,接入cf是最好的办法,但是cf在国内访问的速度堪忧,甚至于套上CF比不套速度更慢。
所以有时候,我们需要定制一下解析规则。
同样,有两种方法:
国内使用其他服务商CDN,国外使用CF自定义Cloudflare节点
这里,我推荐第一种方法,因为据分析,大部分的DDOS攻击和CC攻击来自于国外,理论上,我们国外套CF可以有限的阻止一部分攻击,而国内使用免费CDN(有流量限制),比如腾讯云,百度云,又拍云等能够大大加快网站的加载速度。而攻击者在国内对你网站进行攻击的成本会比国外高很多。[scode type=”yellow”]免费的CDN提供商,推荐使用百度云[/scode]百度云cdn加速策略上是你一旦没有流量则自动回源,一定程度上免去了”一夜一套房子没了”的风险。
第一种的操作方法如下:
在DNS解析记录这里,线路改成境外即可,如果CNAME接入,且有子域名,需要将子域名的解析线路都改成境外,而国内则保持默认值。因为设置解析线路的优先度比默认的高,也就是,如果是境外访问则会跳到CF去解析。具体可以看我之前的文章:
多线路解析设置
第二种的操作方法如下:
在cf中,存在许多的节点,虽然在合作伙伴处接入的时候,它只提供了少数几个,有的两个,有的三个。但是这些节点都是anycast节点,多达上百个。
可以通过相关[scode type=”yellow”]ping检测工具[/scode]来看哪个节点对你来说更友好,比如站长工具的ping检测:
ping检测最佳节点
通过这个我们可以看到(只有你完全通过cloudflare进行代理才能看出),cloudflare合作的几大运营商对你网站的最好节点是什么,挑出这些节点,网上也有很多节点分享,你可以找个小本本记下来。然后在解析设置中,单独为这些节点设置解析。(可以添加多个解析节点)
这里设置不同线路
到这里,我们就完成了cloudflare的接入过程,一个初级的防御策略就形成了,接下来就是去完善,去进行精细化设置,去改防火墙规则攻击网站需要多少钱,缓存设置等等。
这是基于cloudflare,如果不使用cloudflare,那我们能做的免费策略及其有限。但也并非没有,实施起来困难太大。
网站服务器防御构建
这个设想基于方舟基地作者地址:
作者基于阿里云服务器安全组构建了一个简单的防护。
作者原文:
来自于寒夜的描述
同理,我改良了下,通过腾讯云安全组及cloudflare CDN也进行了这个防御的构建。
以下是一些优点和缺点以及发现的一些问题。
1、能够有效的防御DDOS攻击和CC攻击
2、网速运行有保证,不必担心网站IP泄露导致的被攻击
3、提升国外的访问速度
但是缺点也很明显且非常不能忍:
1、免费版解析设置同一线路最多只能解析10个节点
2、会将所有的蜘蛛,搜索引擎阻止。(也就是你的网站不会有蜘蛛来),也就是说,百度,谷歌,搜狗等搜素引擎与你无缘,你的博客文章他们都抓取不到。(暂无解决办法)
故此,此方法仅适用于内网流通,不需要搜索引擎,不需要流量,不需要对外推广的站点同时又可以让知道网站地址的人访问的这种站点使用。
本文到此结束,希望对大家有所帮助!