浅谈DDOS防御

IDC攻击的常见缓解办法最常见的攻击主要是攻击webserver,也就是攻击域名。常见的处理办法有：1：机房硬件防火墙的防御能力要强，高防御机房。2：选用硬件质量好，配置高（配置高、带宽高）的服务器，优化操作系统配置提高系统的健壮性和并发能力。3：服务器上安装商用的流量攻击防御软件。4：服务器采用多个ip，站点的域名做DnsPod智能解析，一个域名解析到多个ip上，封了其中一个ip，域名解析自动切换，不影响使用。5:使用第三方安全防御公司的防御节点(可以免费使用，付费防御效果更佳)。比如使用“百度云加速”或“360网站卫士的高防DNS”。今天通过一个实例解说一个常见的缓解攻击办法，构建高防御节点来缓解DDOS攻击。实例描述客户网站8074.com放在115.231.12.155上，被大流量DDOS攻击了，根据机房那边的管理规定，30分钟才能给解封。客户是做游戏的，还有一台游戏服务器115.231.12.238（运行游戏软件），除了游戏软件外115.231.12.238上还运行着网站的数据库。客户的这个情况是站库分离，站库分离可以减轻单台服务器的负载，当站点被攻击了，若有空闲服务器的话，可以快速恢复站点访问，缓解攻击带来伤害。实例解说1：广东高防御服务器1台（新上服务器，单机防御大，防御级别高）2：浙江电信服务器115.231.12.155（防御级别比较弱的服务器，目前客户正在使用）我们这样：把广东高防服务器搞成反向代理服务器，带都解析到广东高防御这个服务器上。广东高防御服务器不放网站程序数据，只用作反向代理，作为前端机。115.231.12.155服务器再添加一个ip（如115.231.12.159）用作后端机。115.231.12.155上放站点程序数据，且在115.231.12.155服务器上创建两个web站点，ip加端口号那种(不要启用80)。例如115.231.12.155:88、115.231.12.159:99两个站点程序路径都指向同一个（目录）位置。在广东高防御服务器上安装nginx做反向代理&&负载均衡配置。广东高防服务器nginx核心配置如下：优点分析1：不用跨IDC机房，不用进行数据实时同步（数据实时同步是个麻烦事），实施起来简单。2：不用做DnsPod智能解析了，直接把域名解析到（广东）高防御节点服务器上。2：被攻击的网站域名解析到了广东高防服务器上去了，增加了抗攻击的能力，防御能力弱的浙江电信服务器（115.231.12.155）作为源站放到了后端隐藏起来了，可隐藏真实ip，启到保护能力。3：有负载均衡的能力：浙江电信服务器用两个ip来做同一机器的负载均衡，当115.231.12.155封的话，反向代理服务器会自动实时切换到115.231.12.159上，可以让站点的访问不中断。缺点分析由于广东高防服务器只有一台，是单节点的。当黑客攻击流量超出了这个广东高防服务器的防御级别，网站访问不了了。若舍得投资的话，可以上多台广东高防御服务器作为前端防御节点服务器，做好配置，构成一个防御平台，打挂一个前端防御节点，会智能切换到另外一个防御上去，这样会保证网站的高可用性。