我们知道,服务器对外提供服务,基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击,如果不做好必要的防护措施,服务器被人攻击只是时间上的问题。
而我们面临的众多攻击中,DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击,发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的,特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时,服务器负载瞬间上涨、带宽被占满,导致其它服务器无法处理其它合法用户的正常请求。
从本质上说,DDoS带来的请求也是正常请求,所以DDoS防护较难。但是,如果我们把服务器的真实IP隐藏起来,那可以很大程度减小DDoS攻击的可能。
有哪些手段可以隐藏服务器真实的IP呢,我觉得主要有以下几种方案:
1、禁用服务器ICMP回显响应
互联网上的服务器众多,一般情况下我们在公网上的服务器被人发现是要一段时间的,攻击者会通过IP段来扫描存活的机器,一旦扫描到某个IP时有回显,说明此IP是存活的,就会被攻击者记录下来,所以我们要关闭回显功能,这样别人扫描时服务器没有响应,可以避免被人发现。
不管是Windows Server还是Linux都可以通过防火墙来关闭ICMP回显功能。
* Windows Server 操作方法:
控制面板 》查看方式“大图标”》Windows 防火墙 》左侧“高级设置”》入站规则 》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击,然后选中“已启用”和“阻止连接”,如下图示:
* Linux服务器操作方法:
# vi /etc/sysconfig/iptables
添加几条规则,如下图示:
2、利用CDN隐藏源站真实IP
CDN本来是内容分发用的,主要用来做资源加速的,但是CDN本身上也算是一种代理服务器,所以可以隐藏源站的IP。另外CDN节点都带有一定的防护功能,所以DDoS攻击时,CDN可以帮我们分担很多的流量,这样对于源站影响就较小了。
3、使用高防IP
通过主防IP转发,这样就能隐藏源服真实IP。
以上就是隐藏服务器真实IP的主流方案,大家如果有更好见解欢迎在下方评论区互动哦 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!
实际上隐藏真实服务器地址也是阻挡不了ddos,ddos攻击也是正常请求访问服务器,只是访问量比较大导致系统压力暴增,严重导致宕机,实际生产环境项目部署都会使用nginx等反向代理服务器做负载均衡,也就是说客户访问的是负载均衡服务器的ip而不是真实的服务器ip,即nginx隐藏真实服务器ip。防御ddos的方法有很多种,常见的有ip限流,例如:监控ip请求访问量,若访问暴增超过指定阈值,可限制该IP访问,拉入访问黑名单,并进行相关提示,黑名单可按业务设定有效期解禁。限制措施还可以是验证码。例如访问量比较大的接口可通过短信,图形验证码等形式格挡,可减少接口的并发访问量,最常见的例如12306的变态验证码,可缓解登录、提交订单相关接口的访问压力
现在这个互联网环境很难保证自己不会被DDOS攻击,为了保证服务器的正常稳定运行,隐藏服务器真实IP是个不错的方法,这可以让攻击者找不到攻击目标,从而有效地保护网站的安全。现在天下数据IDC就给大家分享一下如何通过隐藏服务器真实IP来防御DDOS攻击? 1、使用高防IP服务高防IP服务的原理:通过利用两台高硬防的单线服务器作为端口映射到双线服务器的两个IP,将虚设的IP映射在真实IP的主机上,这样就能够首先避免被直接威胁的绝对目标,这样也让攻击者无法正确的找到双线服务器的真实IP,并且单线的硬防也更高。简单的说就是把真实IP隐蔽,将虚设IP映射到真实IP上,这样对DDoS的威胁进行绝对的防御。进行虚设IP映射的处理,是没有远程登陆的权限。 2、使用CDN技术简单的来说,内容发布网(CDN)是一个经策略性部署的整体系统,其包括四个重要部分,分别是分布式存储、负载均衡、网络请求的重定向和内容管理。其中内容管理和全局的网络流量管理是CDN技术的核心所在。通过对用户的就近性以及服务器负载的判断,CDN能够保障内容是以一种极为高效的形式为用户提供服务。使用CDN技术隐藏真实IP也是有所不足的,在服务器上发布的内容无法及时的进行更新,CDN是存在地区限制的。例如只是做了国内的CDN,而没有做海外的CDN,这样攻击者使用美国服务器的IP,在使用ICMP工具ping 的域名或其它地址那么你的服务器真实IP真实就出现在攻击者面前了。 3、使用域名导向
该技术是相对较新的,与其他的方法都是有相同点的。其与URL的隐藏转发是有相同点的(但url隐性转发已经被国家禁止了);和CDN技术的相同点就是将服务器的IP进行隐藏等。另外,为了防止服务器的IP被传送信息泄露,还可以选择不使用服务器发送邮件的功能,若必须要进行邮件发送,可以选择使用第三方的代理发送,这样对外显示的IP也就是代理的IP,不是服务器的IP就不会出现泄露。
- web集群部署(提升网站的可用性和访问量)
- 负载均衡2台最少(做应用和链路负载)
- CDN加速(加速用户访问,抵御小规模攻击)
- waf安全设备
- zabbix等软件监控服务器,网络,应用状态。(触发器脚本使故障自愈)
- 日志采集分析工具,实时查看恶意访问来源。
能安排上的通通安排上,做好规范和管理制度。做到可用性99.99%还是没啥问题的!如果发生不可抗因素的话,就没啥办法了一定要做灾备。