目前行业内防DDOS和CC的流行有效防护手段有哪些?三零一来总结一下方法,DDoS(4层攻击)与CC(7层攻击)分开来讲
DDoS防御
1.游戏类
多节点- 阿里游戏盾、网易棋牌盾、游戏盾、防御盾。这些盾都是采用的TCP转发+智能DNS来构造的。使用多个节点来抵挡攻击、增加攻击者的成本、降低玩家-服务端的延迟
单机抵抗- 台州世博通60.191.186,阿里云云盾116.211.167-172.*,网易易盾,腾讯云DDoS高防ip,OVH等。这些都是通过大型防火墙过滤与运营商那边的流量清洗,提高单机的防御能力。
BGP类- 杭州安全通43.227,蒲公英43.241。自建BGP线路,让分散的防御资源组合起来(多ip整合成单ip),典型的例子:43.241.50的渣渣虚假防御BGP(240G电信,40G联通,20G移动)
2.网站类
单机抵抗- 台州世博通60.191.186,阿里云云盾116.211.167-172.*,网易易盾,腾讯云DDoS高防ip,OVH等。通过大型防火墙过滤与运营商那边的流量清洗,提高单机的防御能力。
多节点- 使用CDN或者自建反向代理隐藏后端ip,前端由高防服务器阵线构成。
BGP类- 杭州安全通43.227,蒲公英43.241
2. 多节点式的CDN- 例如,百度云CDN,知道创于云,阿里CDN,腾讯CDN。 让网站拥有十几个或者几十个前端节点。
Anycast类CDN- 采用Cloudflare,Incapsula的服务,一个广播ip可以指向后面成百上千个节点,再从后端获取资源。(事实上这样反而让实力雄厚的攻击者打起来更容易)
3. 宕机自动切换类
使用DNS供应商提供的宕机监控功能,采用多个高防节点。单节点被打死后,域名会指向其他存活的节点。
CC防御
1.本机过滤- 使用云锁,安全狗,iptables等软件本机过滤攻击
2. CDN供应商提供的CC防御- 采用验证java script,判断user-agent等方式,判断访客是否为真实用户。如果可疑,则需要输入验证码继续访问网站。
3. 均衡负载- 采用多台设备,共同负载攻击,缓解网站负担。
4. 机房防火墙处限制单ip在特定时间内的tcp连接数量。达到某个阈值则判定为是CC攻击,ban掉ip。
三零一专业的DDOS防御,CC攻击防御专家,ddos防御,cc攻击防御,cdn防御,cc防护,云防护,ddos云防御,抗ddos/cc攻击,wafcc/ddos防护等