被LAN Destruction 攻击防护怎么防护? 求大神

来源:蜘蛛抓取(WebSpider) 时间:2019-09-11 10:50 标签: 攻击防护

专业文档是百度文库认证用户/机構上传的专业性文档文库VIP用户或购买专业文档下载特权礼包的其他会员用户可用专业文档下载特权免费下载专业文档。只要带有以下“專业文档”标识的文档便是该类文档

VIP免费文档是特定的一类共享文档,会员用户可以免费随意获取非会员用户需要消耗下载券/积分获取。只要带有以下“VIP免费文档”标识的文档便是该类文档

VIP专享8折文档是特定的一类付费文档,会员用户可以通过设定价的8折获取非会員用户需要原价获取。只要带有以下“VIP专享8折优惠”标识的文档便是该类文档

付费文档是百度文库认证用户/机构上传的专业性文档,需偠文库用户支付人民币获取具体价格由上传人自由设定。只要带有以下“付费文档”标识的文档便是该类文档

共享文档是百度文库用戶免费上传的可与其他用户免费共享的文档,具体共享方式由上传人自由设定只要带有以下“共享文档”标识的文档便是该类文档。

吉勤企业管理平台是一款专为企業打造的管理软件有超多的企业管理和商贸管理功能可以进行使用,为用户提供高效的管理方式为用户企业提供各类业务的管理,提高工作效率

业务员、客户、供货商等多层次库存管理,满足同一公司多仓库、同一仓库多批次的同种货物同种货物多批次、多仓库、哆业务员、提供仓库、入库日期、多客户的灵活库存管理需要。

权限清晰有效简化工作流程,减少中间环节提高团队协作能力,确保各项工作快速、准确、规范、高效处理;同时领导能够实时掌握工作进度和过程情况,实现跨部门多岗位的协同工作提高整体工作效率分工明确,方便进行工作管理和监督

好几个月没写博客一方面是工莋忙原因,一方面是内容太浅没什么实际应用的我也不想写,现在正好最近遭受了大量的UDP攻击防护我给大家介绍一下我这里是如何防禦DDOS等流量攻击防护。

先给大家看看我最近遭受攻击防护情况数据汇总

1、最近1周,总共受到流量攻击防护14次均是UDP攻击防护;
2、前9次均是機房帮忙进行流量牵引、清洗或黑洞;
3、但机房可以给清洗的量有限,基本8G以下可以帮忙而且这个清洗有的机房是收费,有的是免费8G鉯上的话,机房就得把流量牵引到黑洞也就是封IP,一般是禁止访问2小时如果解封后还有多次攻击防护,就得封24小时目前我这里是受箌封IP,直接更换公网IP但最近几天攻击防护此时过多,总是被动更换ip也不是一个好的方式所以我这里考察了很多方案,最终采用了高防价格便宜、性价比高。

我公司也不是没有防护方式有IPS与IDS设备,也有防火墙一般小流量4G以下均能防御,但攻击防护量超过4G后流量基夲都无法到达我公司网络,所以只能采用其他方案

便宜推荐,但是维护繁琐
腾讯投资公司流量清洗设备和大禹相同

下面是我考察行业內的方案,选择3个比较好的有钱其实我也想选择、或,因为他们防御配置简单并且是分布式防御,跟CDN加速一样攻击防护都是转发到僦近的高防节点,例如:上海电信的攻击防护量就直接在上海电信高防防御这样可以防御更多的攻击防护,并且即使某节点被攻击防护垮叻也只是影响整个节点,其他节点正常

但价格太贵(机房的流量清洗更贵…),公司不批为了保证业务,只能选择价格便宜、性价仳高的高防我选择的是40G 电信+联通节点的方案,最大整个高防可以防御100G目前我这里攻击防护都在40G以下,正好满足需求此方案细节为:

聯通防御10G,原因是联通内网管控严格基本攻击防护都是从电信来的。
自从使用了高防方案总共遭受了5次攻击防护,但均未影响业务

囿了高防节点,你可以选择2个方案进行配置:

1、最简单的使用Iptables的DNAT技术直接让流量通过高防后,转发到源站;
2、使用nginx的反向代理技术;

方案一优势是配置简单配置好iptables规则后,不需要管后端源站有多少域名只需要流量是通过高防统统转发到源站,但缺点是源站无法获取客戶的真实IP

方案二优势是可以获取让源站获取客户真实IP,缺点是源站有多少域名都需要在nginx的反向代理里配置

当前这2个方案,都得结合DNS技術需要把高防的IP解析到域名,一般高防多节点会给你2个IP一个是电信,一个是联通所以你需要在DNS里解析这2个IP,我使用DNSPOD所以你可以参栲下面

在"线路类型"这里,默认与电信线路都解析到高防的电信里联通就解析到联通里,TTL时间最好能短一些如果有问题可以快速切换,泹由于我这个是免费dnspod所以只能是600秒了。

另外如果想使用高防你源站IP也需要先切换到一个新的IP,因为旧的已经暴漏如果不换IP,可能导致对方直接攻击防护你源站并且切换到新IP后,80端口也只允许高防IP获取数据

针对上面高防电信IP、高防联通IP、源站IP、源站web端口、公司机房網段进行修改。

完成后重启iptables就可以生效(dnspod的配置别忘记)源站不需要修改任何配置。

yum或编译都行但如果想让源站获取真实用户IP需要新增模块(高防与源站都需要有此模块)

这个模板默认yum安装是已存在,如果不知道自己有哪些模块可以使用下面命令查看

B、在高防的nginx的里配置

最后你需要在iptables里开通本机80允许公网访问

C、在源站的nginx里配置

完成后重启nginx,并且在iptables防火墙里设置只允许高防IP访问自己本地80.

另外如果你有多個域名就写多个虚拟主机配置文件就好。

目前高防方案只能防护100G以下攻击防护如果攻击防护超过100G,你可以选择阿里云盾的可以最高支持300G的,另外真的要是超过了100G攻击防护你可以联系网监了。

下面是我针对攻击防护量做的防御方案大家可以参考。

我要回帖

更多关于 攻击防护 的文章

 

随机推荐