Dragon

网站服务器如何正确预防 DDOS 攻击?

2022-12-27 21:51 187 抢沙发 阿峰博客

分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。

DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如 IoT 设备)。

总体而言,DDoS 攻击好比高速公路发生交通堵塞,妨碍常规车辆抵达预定目的地。

ddos相比 cc 攻击破坏性更强。目前国内云服务厂商如果没有购买高防服务,DDOS 攻击达到防护阈值上线后将直接进行公网封堵,导致服务器进入黑洞模式,网站将无法访问,一般国内大点的云服务商会提供 2Gbps 的基础ddos防护,超过该值将进行封堵。

但国内稍微大点的云服务商提供的 DDOS 防御服务价格都比较高昂,一般一个月十几万 rmb 起步。

下面阿峰博客教大家如何正确预防DDOS 攻击。Tips:互联网漏洞错综复杂,无法做到百分百预防,只能做到尽量避免。

1.Nginx 绑定默认站点

如果不绑定默认站点,通过 https 协议访问 IP 地址浏览器会提示隐私设置错误,且会显示此服务器无法证明它 xxxxxx;其安全证书来自 xxxxx。出现此问题的原因可能是配置有误或您的连接被拦截了。

此时就会暴露绑定在该服务器上的第一个配置 SSL 证书的域名。

网站服务器如何正确预防 DDOS 攻击?插图

首先打开宝塔面板>网站>添加站点,输入任意一个字符串,如:ssl.ssl

网站服务器如何正确预防 DDOS 攻击?插图1

然后打开该网站的设置>SSL,依次输入如下证书内容,KEY 格式:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

PEM 格式:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIID2jCCAsKgAwIBAgIINPzH4WOC/zkwDQYJKoZIhvcNAQELBQAwezELMAkGA1UE
BhMCQ04xFzAVBgNVBAoTDktleU1hbmFnZXIub3JnMTEwLwYDVQQLEyhLZXlNYW5h
Z2VyIFRlc3QgUm9vdCAtIEZvciBUZXN0IFVzZSBPbmx5MSAwHgYDVQQDExdLZXlN
YW5hZ2VyIFRlc3QgUm9vdCBDQTAeFw0yMjA5MjIwNDA5MzZaFw0zMjA5MjIwNDA5
MzZaMHoxCzAJBgNVBAYTAkNOMRcwFQYDVQQKEw5LZXlNYW5hZ2VyLm9yZzExMC8G
A1UECxMoS2V5TWFuYWdlciBUZXN0IFJvb3QgLSBGb3IgVGVzdCBVc2UgT25seTEf
MB0GA1UEAxMWS2V5TWFuYWdlciBUZXN0IFJTQSBDQTCCASIwDQYJKoZIhvcNAQEB
BQADggEPADCCAQoCggEBALptcDp//OxbZ8VkluS/Jy/Y+NUafny+cTVGxfo4Wazp
9BxU40id/VBKjgJFTNdHBaldLmhJhV3xEeD3WkJim+wcEvqf7BDw2h4+r8C26a5u
FeMfxKh5s+NMRHkHalfgH+RkDANV1bL4N7bOiZJaFNJtUiYcZKlG1/dSgq9iQUAQ
S6yLrOoiwXhqGdwdDSPm5zwpgN16JSxd4iosoW4huYxL5+Eu1ZzwD9fxwCGLuEpl
djjjfyLimBy8nyjEjRarI+7Qe52UeDD2h820nMVmO4+iSzbwwSIGyZci7hzvL0V1
TEe3ioCTPUjb1UqQ+17SU3uGy15pPLw0OXgjgte3EvcCAwEAAaNjMGEwDgYDVR0P
AQH/BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBBYEFEaB/oStJJUfB36s
30fWh2/sb+tBMB8GA1UdIwQYMBaAFL1MeNcsH84yJs6t8rgeBkivA7TZMA0GCSqG
SIb3DQEBCwUAA4IBAQCCh+G9tS/Rm5uxxvcmBq9zPXcD6nnBMEswNqkDmEjVgk7J
3M8XP5FsiU5bqBSOpHuIS407WinZSIgjxTBhKbx3XSrOWDiDKFnEd3V4Ky5bufjn
6EwwzrDQW6xSXM91l6GVsfKyzbkmvCubdOsaI0Kz7/pEpQqabir/ZvQvZCtAmrja
MU8PtTh+MnkvSLSyIvzLIy98WTSjzOg2PUwfs3p1fRmUi0nKb9TzNH/fISSW7qUv
66FA8mO3DbolQgPVBIPIP9I2m0+/5PLVYHSshTjJQL0BGfbPeDPtjwKQyzmuWJ/w
PAxuA8+hefPZaHCoEU6UGf4roBGZ/jcnNi5Xi0Vm
-----END CERTIFICATE-----

然后保存 SSL 即可。

之后在宝塔面板>网站>默认站点,选择上面添加的默认站点,如:ssl.ssl

网站服务器如何正确预防 DDOS 攻击?插图2

此时再访问 https 协议的服务器 IP 地址,浏览器会提示证书不可信,同时不显示任何域名、

网站服务器如何正确预防 DDOS 攻击?插图3

2.关闭 SMTP 服务

SMTP 服务也有可能是导致源站 IP 泄露的罪魁祸首,打开服务器发送的邮件,打开邮件原文,在 Received 字段可以看到其中 value 包含您的服务器 IP 信息。

如果您的网站有使用 QQ、网易邮箱等 SMTP 服务,用户可以通过忘记密码操作以使您的服务器发送邮件到用户邮箱,通过以上操作可以分析出您的网站源站 IP。

网站服务器如何正确预防 DDOS 攻击?插图4

网站服务器如何正确预防 DDOS 攻击?插图5

替代方法:

更换邮箱验证、找回密码等操作,换为手机号验证、找回密码,但手机号验证相对邮箱验证成本更高且限制更多。

我们可以使用腾讯企业邮箱、阿里云企业邮箱、网易企业邮箱等域名邮箱做为 SMTP 服务,当然需要准备个二级域名,具体操作请自行 Google or Baidu

还有一种方法是通过阿里云邮件推送产品实现发送邮件的目的,产品地址:https://www.aliyun.com/product/directmail

站长个人推荐使用各家大厂的域名邮箱绑定自己的域名使用 SMTP 服务,腾讯企业邮箱和网易企业邮箱都是可以免费使用的,free 套餐有不少限制,每日邮件发送量不大可以考虑,更高要求的可以考虑付费套餐,无论是域名邮箱或者是邮件推送产品都不会泄露源站 IP 信息。

结语:

互联网本身就存在很大的漏洞,任何策略都不可能百分百保证安全,能做的只有尽量避免

「点点赞赏,手留余香」

还没有人赞赏,快来当第一个赞赏的人吧!

阿峰博客给阿峰博客打赏
×
予人玫瑰,手有余香
  • 1
  • 5
  • 10
  • 20
  • 50
1
支付

本文为原创文章,版权归所有,欢迎分享本文,转载请保留出处!

2022-12-10

2023-02-15

发表评论