魔獸世界服務(wù)器被攻擊在目前來(lái)說也是比較常見的，同行競(jìng)爭(zhēng)激烈，在官服開放時(shí)也遇到過DDOS攻擊，要是飛飛沒記錯(cuò)是在22年9月14日，從剛開始的身份驗(yàn)證服務(wù)器出現(xiàn)問題，到確定是DDOS攻擊導(dǎo)致，再到DDOS攻擊結(jié)束，差不多3個(gè)小時(shí)時(shí)間。

DDOS攻擊是一種較常見的網(wǎng)絡(luò)攻擊技術(shù)，原理是攻擊者通過位于不同位置的多臺(tái)設(shè)備，在同一時(shí)間對(duì)目標(biāo)機(jī)器發(fā)送大量服務(wù)請(qǐng)求數(shù)據(jù)包，導(dǎo)致服務(wù)器的系統(tǒng)資源無(wú)法處理請(qǐng)求，達(dá)到目標(biāo)機(jī)器無(wú)法為真正的用戶提供正常的服務(wù)的目的。

DDOS攻擊量大的多來(lái)自于海外，規(guī)模大、難以溯源，僅僅靠高防服務(wù)器想防住DDOS是不現(xiàn)實(shí)的，雖然不能完全杜絕DDOS，但通過適當(dāng)?shù)拇胧┑钟?9.9%的DDOS攻擊是可以做到的。

無(wú)論是攻擊還是防御都有成本，通過升級(jí)服務(wù)器防御的方法增強(qiáng)抵御DDOS攻擊的能力，那意味著攻擊者的攻擊成本也會(huì)增加，大多數(shù)攻擊者會(huì)因?yàn)槌杀靖叨鵁o(wú)法繼續(xù)而放棄。也算是一種成功抵御DDOS攻擊的方法。

辦法總比困難多，除了上述方法，飛飛和你分享多年IDC經(jīng)驗(yàn)，DDOS攻擊怎么防御？

1、采用高性能的網(wǎng)絡(luò)設(shè)備

作為互聯(lián)網(wǎng)從業(yè)者，首先要保證的就是網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候盡量選用知名度高、口碑好的。如果和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)有大量攻擊進(jìn)入時(shí)請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來(lái)對(duì)抗某些種類的DDoS攻擊是非常有效的。

2、盡量避免NAT的使用

路由器、硬件防護(hù)墻等設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力。原理很簡(jiǎn)單，NAT需要對(duì)地址來(lái)回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間，但有些時(shí)候必須使用NAT，那就沒有辦法了。

3、充足的網(wǎng)絡(luò)帶寬

網(wǎng)絡(luò)帶寬直接決定了抵御攻擊的能力，當(dāng)遇到了DDOS攻擊時(shí)我也會(huì)建議用戶升級(jí)帶寬，或是臨時(shí)加帶寬。當(dāng)你的帶寬是10M時(shí)，無(wú)論采取什么措施都難以抵御現(xiàn)在的SYNFlood攻擊，做游戲業(yè)務(wù)的建議帶寬50M起步（獨(dú)享帶寬），共享帶寬至少100M起步，最好是掛載在1000M的主干上。

還需要注意的是網(wǎng)卡是1000M的不代表網(wǎng)絡(luò)帶寬是千兆的，若交換機(jī)是100M的，實(shí)際帶寬不會(huì)超過100M。再就是100M的帶寬不等于下載速度就能達(dá)到100MB/s，服務(wù)器帶寬指的是上行帶寬，根據(jù)公式換算，100M帶寬下載速度約12.5MB/s。

4、高性能主機(jī)服務(wù)器硬件

在網(wǎng)絡(luò)帶寬充足的情況下，建議服務(wù)器硬件配置不要太低，要有效對(duì)抗每秒10萬(wàn)個(gè)SYN攻擊包，起關(guān)鍵作用的還是CPU和內(nèi)存，至強(qiáng)或是Intel酷睿系列都是可以的，內(nèi)存一定要選擇DDR的高速內(nèi)存。

5、把網(wǎng)站做成靜態(tài)頁(yè)面

大數(shù)據(jù)證明把網(wǎng)站做成靜態(tài)頁(yè)面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來(lái)不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。新浪、搜狐、網(wǎng)易等門戶網(wǎng)站都是靜態(tài)頁(yè)面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它放到另外一臺(tái)單獨(dú)主機(jī)去，免得遭受攻擊時(shí)連累主服務(wù)器。當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫(kù)調(diào)用腳本還是可以的。

此外，最好在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中拒絕使用代理的訪問，因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

6、增強(qiáng)操作系統(tǒng)的TCP/IP棧

Windows 2000和Windows 2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDoS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個(gè)SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個(gè)，具體怎么開啟，可以參考一下微軟的發(fā)文。如果你用的是Linux和FreeBSD怎么辦？可以參考這篇文章去做《SYN cookies》

7、安裝專業(yè)抗DDOS防火墻

比如金盾防火墻（Xva-886），對(duì)SYN Flood、UDP Flood、ICMP Flood、ACK Flood、DNS Query Flood、Ping Sweep等DDoS流量型攻擊，HTTP Get Flood、CC Proxy Flood等DDoS連接型攻擊和Teardrop、Fragment Flood等漏洞型攻擊及其他各種常見的攻擊行為都能有效識(shí)別，實(shí)時(shí)監(jiān)控。并通過集成的機(jī)制實(shí)時(shí)對(duì)攻擊流量進(jìn)行阻斷處理，保障業(yè)務(wù)系統(tǒng)正常運(yùn)行。目前馳網(wǎng)杭州、揚(yáng)州、紹興機(jī)房都配備金盾、傲盾和華為Antiddos防火墻多重防護(hù)，保障業(yè)務(wù)系統(tǒng)正常運(yùn)行。

8、其他防御措施

以上七條抵御DDoS攻擊的防御方法，適合大多數(shù)擁有自己主機(jī)的用戶，但如果以上措施都沒有效果，就需要更多的投資，增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)，甚至需要更換七層交換機(jī)設(shè)備，從而使得防護(hù)DDoS能力成倍提高！

最新評(píng)論