洪水攻击是现在骇客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的。常见的有DDoS(拒绝服务攻击),就是让你的服务器资源耗尽,无法提供正常的服务,间接地拒绝。可以这样理解。DDOS只是洪水攻击的一个种类。其实还有其它种类的洪水攻击。我们的服务器是如何抵抗洪水攻击的呢。
HTTP泛洪攻击有两种:
HTTP GET攻击- 在这种形式的攻击中,协调多台计算机或其他设备以从目标服务器发送对图像,文件或某些其他资产的多个请求。当目标被传入的请求和响应淹没时,来自合法流量源的其他请求将发生拒绝服务。
HTTP POST攻击- 通常在网站上提交表单时,服务器必须处理传入的请求并将数据推送到持久层,通常是数据库。与发送POST请求所需的处理能力和带宽量相比,处理表单数据和运行必要的数据库命令的过程相对密集。此攻击利用相对资源消耗的差异,通过将许多发布请求直接发送到目标服务器,直到其容量饱和并发生拒绝服务。
1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗当今的SYNFlood攻击,至少要选择100M的共享带宽,最好的当然是挂在100M的主干上了。但需要注意的是,主机上的网卡是100M的并不意味着它的网络带宽就是这么多的,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到为止关于HTML的溢出还没出现,新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免得遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的。
对于怎样利用服务器抵抗洪水攻击小数也讲的差不多了,大家可以根据以上所说的这些,来对您的服务器进行调整。如果亲们有服务器租用或者托管需求随时联系小影,提供技术协助等服务。
如前所述,减轻第7层攻击是复杂的,通常是多方面的。一种方法是对请求机器实施挑战,以便测试它是否是机器人,就像在线创建帐户时常见的验证码测试一样。通过提供诸如JavaScript计算挑战之类的要求,可以减轻许多攻击。
免费的CDN分发,增加服务器对洪水攻击的抗性。
阻止HTTP泛洪的其他途径包括使用Web应用程序防火墙(WAF),管理IP信誉数据库以跟踪和有选择地阻止恶意流量,以及工程师的即时分析。