分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如 IoT 设备)。
总体而言,DDoS 攻击好比高速公路发生交通堵塞,妨碍常规车辆抵达预定目的地。
ddos相比 cc 攻击破坏性更强。目前国内云服务厂商如果没有购买高防服务,DDOS 攻击达到防护阈值上线后将直接进行公网封堵,导致服务器进入黑洞模式,网站将无法访问,一般国内大点的云服务商会提供 2Gbps 的基础ddos防护,超过该值将进行封堵。
但国内稍微大点的云服务商提供的 DDOS 防御服务价格都比较高昂,一般一个月十几万 rmb 起步。
下面阿峰博客教大家如何正确预防DDOS 攻击。Tips:互联网漏洞错综复杂,无法做到百分百预防,只能做到尽量避免。
1.Nginx 绑定默认站点
如果不绑定默认站点,通过 https 协议访问 IP 地址浏览器会提示隐私设置错误,且会显示此服务器无法证明它 xxxxxx;其安全证书来自 xxxxx。出现此问题的原因可能是配置有误或您的连接被拦截了。
此时就会暴露绑定在该服务器上的第一个配置 SSL 证书的域名。
首先打开宝塔面板>网站>添加站点,输入任意一个字符串,如:ssl.ssl
然后打开该网站的设置>SSL,依次输入如下证书内容,KEY 格式:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----PEM 格式:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----然后保存 SSL 即可。
之后在宝塔面板>网站>默认站点,选择上面添加的默认站点,如:ssl.ssl
此时再访问 https 协议的服务器 IP 地址,浏览器会提示证书不可信,同时不显示任何域名、
2.关闭 SMTP 服务
SMTP 服务也有可能是导致源站 IP 泄露的罪魁祸首,打开服务器发送的邮件,打开邮件原文,在 Received 字段可以看到其中 value 包含您的服务器 IP 信息。
如果您的网站有使用 QQ、网易邮箱等 SMTP 服务,用户可以通过忘记密码操作以使您的服务器发送邮件到用户邮箱,通过以上操作可以分析出您的网站源站 IP。
替代方法:
更换邮箱验证、找回密码等操作,换为手机号验证、找回密码,但手机号验证相对邮箱验证成本更高且限制更多。
我们可以使用腾讯企业邮箱、阿里云企业邮箱、网易企业邮箱等域名邮箱做为 SMTP 服务,当然需要准备个二级域名,具体操作请自行 Google or Baidu
还有一种方法是通过阿里云邮件推送产品实现发送邮件的目的,产品地址:https://www.aliyun.com/product/directmail
站长个人推荐使用各家大厂的域名邮箱绑定自己的域名使用 SMTP 服务,腾讯企业邮箱和网易企业邮箱都是可以免费使用的,free 套餐有不少限制,每日邮件发送量不大可以考虑,更高要求的可以考虑付费套餐,无论是域名邮箱或者是邮件推送产品都不会泄露源站 IP 信息。
结语:
互联网本身就存在很大的漏洞,任何策略都不可能百分百保证安全,能做的只有尽量避免
还没有人赞赏,快来当第一个赞赏的人吧!
给阿峰博客打赏 - 1¥
- 5¥
- 10¥
- 20¥
- 50¥
本文为原创文章,版权归阿峰博客所有,欢迎分享本文,转载请保留出处!
