文章摘要:如何快速解决阿里云服务器进入黑洞?大家都知道阿里云有个黑洞机制,一单ddos攻击高于防御阈值就会被阿里云拉入黑洞,那么面对这个问题我们应该怎么解决呢?被DDOS攻击时,大致有以下几种现象:1。被攻击的主机上有大量等待的TCP连接;2.被攻击主机的系统资源被大量占用,导致系统停止运行;网络上充斥着无用的数据包,源地址是假地址;4.高流量无用数据使网络拥塞,受害主机无法与外界正常通信;5利用受害主机提供的服务或传输协议中的缺陷,高速重复发出特定的服务请求,使受害主机无法及时处理所有正常请求;严重的时候系统会崩溃。
大家都知道阿里云有个黑洞机制,一单ddos攻击高于防御阈值就会被阿里云拉入黑洞,那么面对这个问题我们应该怎么解决呢?
被DDOS攻击时,大致有以下几种现象:1。被攻击的主机上有大量等待的TCP连接;2.被攻击主机的系统资源被大量占用,导致系统停止运行;网络上充斥着无用的数据包,源地址是假地址;4.高流量无用数据使网络拥塞,受害主机无法与外界正常通信;5利用受害主机提供的服务或传输协议中的缺陷,高速重复发出特定的服务请求,使受害主机无法及时处理所有正常请求;严重的时候系统会崩溃。
到目前为止,仍然很难防止DDOS攻击,但仍然可以采取一些措施来减少其危害。对于中小型网站,可以从以下几个方面进行防范。
1.主机设置:即强化操作系统,设置各种操作系统参数,强化系统的稳定性。在Linux以及BSD系统、Solaris、Windows等各种操作系统内核中编译或设置一些参数,可以在一定程度上提高系统的抗攻击能力。比如典型的DDOS攻击类型Synflood,利用TCP/IP协议漏洞发送大量伪造的TCP连接请求,使网络无法连接到用户服务或者操作系统瘫痪。攻击过程涉及到系统的一些参数:可以等待的数据包的链接数,数据包等待时间的长短。所以可以做以下设置:关闭不必要的服务;将数据包连接数从默认值128或512修改为2048或更多,以延长每个处理数据包的队列长度,并缓解和消化更多数据包的连接;设置连接超时时间较短,保证正常数据包的连接,屏蔽非法攻击包;及时更新系统,安装补丁。
防火墙设置:仍然以SYN Flood为例,可以在防火墙上进行以下设置:禁止访问主机的非开放服务;限制同时打开的数据包的最大数量;限制对特定IP地址的访问;启用防火墙的防DDOS属性;严格限制对外开放的服务器的外部访问,防止自己的服务器被用作攻击他人的工具。另外,可以采用以下方法:随机丢弃算法。当流量达到某一阈值时,根据算法规则丢弃后续消息,以维持主机的处理能力。缺点是正常数据包会被误丢,特别是在大流量数据包的攻击下,正常数据包就像九根牛一头发,很容易和非法数据包一起被排斥在网络之外;SYN Cookie算法,使用6次握手技术来降低攻击率。其缺点是根据列表查询,当数据流量增加时,列表迅速膨胀,计算量也相应增加,容易造成响应延迟甚至系统瘫痪。因为DOSS攻击种类繁多,防火墙只能抵御有限的几种。
路由器设置:以思科路由器为例,可以采用以下方法:思科快速转发(CEF);使用单播反向路径;访问控制列表(ACL)筛选;设置数据包流量;升级IOS版本太低;为路由器建立日志服务器。其中,使用CEF和单播设置时需要特别注意,使用不当会严重降低路由器的工作效率。IOS也要谨慎升级。路由器是网络的核心设备,需要精心设置。最好先修改一下不要保存,看看效果。
Cisco路由器有两种配置,启动配置和运行配置。修改时改变运行配置,允许这个配置运行一段时间,认为可行后再保存配置到启动配置;如果您对原始配置不满意,只需使用复制开始运行。防火墙和路由器都是与外界的接口设备。在设置DDOS预防时,我们应该权衡可能相应牺牲的正常服务的成本,谨慎行事。使用负载均衡技术:就是将应用业务分布到几个不同的服务器上,甚至不同的位置。使用循环DNS服务或硬件路由器技术,进入系统的请求被分发到多个服务器。这种方法需要较大的投资,相应的维护费用也较高。有条件可以考虑中型网站。
以上方法对防止DDOS攻击是有效的,且流量小,针对性强,结构简单。对于DDOS攻击,我们需要能够应对大流量的防范措施和技术,需要能够集成各种算法和各种网络设备功能的集成技术。
近年来,国内外也出现了一些采用这种集成技术的产品,如Captus IPS 4000、Mazu Enforcer、顶层攻击Mitigator,以及国内的绿盟黑洞和东方龙马终结者等。可有效抵御SYN Flood、UDP Flood、ICMP Flood、Stream Flood等高流量DDoS攻击,部分还具备路由和交换的网络功能。对于有能力的网站来说,直接采用这些产品是防止DDOS攻击的便捷方式。但是,无论是国外产品还是国内产品,其技术应用的可靠性和可用性仍需进一步提高,如提高设备本身的高可用性、处理速度和效率以及功能集成。最后介绍两种应急方法,在网站受到DDOS攻击,系统无响应时快速恢复服务:如果有多余的IP资源,可以换一个新的IP地址,将网站域名指向新的IP;禁用端口80,使用端口81等HTTP服务或其他端口,将网站域名指向IP: 81。
本文采摘于网络,不代表本站立场,转载联系作者并注明出处:https://www.dushilianren.cn/common/337.html