攻防策略
如果有人真D你的站點,你還真沒有辦法,當然我所說的羣體是針對中小站長而言,你連DDOS基礎防護的清洗閾值都達不到。
如果你只是一個默默無聞的小站,根本不需要想那麼多。儘管現在DDOS成本很低,但誰不是無利不起早,除非你得罪了什麼人。
當然對於一般的攻擊我們也不能坐以待斃,這裏總結了幾個小技巧,分享給大家,反向代理使用的是openresty。
Nginx優化
Nginx號稱最大併發5W,實際上對於中小站點來說幾十或者上百個併發就不錯了,最基本的參數就可以滿足需求。但是爲了安全期間,我們最好隱藏其版本號。
# 隱藏版本,防止已知漏洞被利用
server_tokens off; #在http 模塊當中配置PHP優化
在php渲染的網頁header信息中,會包含php的版本號信息,比如: X-Powered-by: php/5.6.30,這有些不安全,有些黑客可能採用掃描的方式,批量尋找低版本的php服務器,利用php漏洞(比如hash衝突)來攻擊服務器。
# 隱藏版本,防止已知漏洞被利用
php_admin_flag[expose_php] = offIP黑名單
對付那種最low的攻擊,加入黑名單的確是一個不錯的選擇,不然別人AB就能把你壓死:
# 在Nginx的http模塊添加以下配置即可
deny 61.136.197.xxx;
# 禁封IP段
deny 61.136.197.0/24;IP日訪問次數
限制單個IP的日訪問次數,正常來說一個用戶的訪問深度很少超過10個,跳出率一般在50%-70%之間。其實我們要做的把單個IP的日訪問量控制在100甚至50以內即可。
限制併發數
光限制訪問次數還是不夠的,攻擊者可能瞬間涌入成百上千的請求,如果這些請求到後端服務,會打垮數據庫服務的,所以我們還要基於我們自身網站訪問情況設置併發數。
- 限制單個IP的併發數
- 限制總併發數
這裏建議大家使用漏桶算法限流,來整形流量請求。
https://www.cnblogs.com/smallSevens/p/9221002.html