SYN/Cookies 算法,爲每一個IP分配一個“Cookie”,並統計每個IP地址的訪問頻率。如果短時間內收到大量的來自同一個IP
地址的數據包,則認爲收到了攻擊,之後來自這個IP的包將被丟棄。
一些產品會串聯或者並聯到網絡出口處,結合DDos攻擊的特徵,對流量進行清洗。
二、應用層DDos:
CC攻擊原理:對一些消耗資源較大的應用頁面不斷髮起正常的請求,以達到消耗服務器資源的目的。
如何應對:1、優化服務器性能,將使用頻率高的數據放在mamcache中,相對於查詢數據庫所消耗的資源來說,查詢mamcache所消耗的資源可以忽略不計。
2、最常見的措施是針對每個“客戶端”做一個請求頻率的限制。
3、在網絡架構上做好優化,善於利用負載均衡技術,避免用戶流量集中在單臺服務器上。同時可以充分利用好CDN和鏡像站點的分流作用,緩解主站的壓力。
4、使用驗證碼
三、Web Server 配置安全
Apache:Apache的高危漏洞大部分是由它的Module造成的,因此檢查Apache安全的第一件事
就是,儘可能地減少不必要地Module,對於要使用地Module則檢查其是否有已知的安全漏洞。
爲Apache單獨建立一個user/group,不要使用root或者admin,危害如下:(1)黑客入侵時,
將直接獲得一個高權限(2)應用程序本身具備較高的權限,當出現bug時,可能帶來較高的
風險。
Nginx:Nginx的高危漏洞比Apache多,因此多多關注Nginx的漏洞信息,並及時將軟件升級到安全
版本,是非常有必要的。與Apache一樣,Nginx也應該以單獨身份運行。