作为互联网安全研究人员,很荣幸能为您这个问题。
首先解释一下DDOS,这种手段可以说是最常见的也是最为常规的攻击手段,其中DOS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。
对于DDOS的攻击防护,根据本人的经验,在没有强有力的资金以及技术的情况下,直接采用虚拟服务器,或者云服务器是比较好的手段,不建议自己搭建,运维成本太高,你用虚拟服务器有一个好处,服务器运营商会帮你提供部分DDOS防护,不要问为什么,可以自己理解,当然用另外云服务器的你也可以购买防护套餐!
但是,如果你面对的是强有力的恶意竞争对手有组织的黑客行为,这些防护手段远远不够,曾经微信端用户量最大的企业号应用提供商办公逸,就深受其害,一连几天很多功能都用不来!所以可想而知这种攻击防护难度有多大,连这么大的企业都不能完好抵御,更何况是普通安全人员!
在面对大型僵尸网络,发布完全不同的恶意请求的时候,往往很多公司的的防护都是苍白无力的。
下面介绍几种常规的防护手段:
1. 备份网站
这一点至关重要,每一个在运行的网站,你都应该备份,或者最好有备用服务器
2. 拦截请求
这个也是很关键的,下面介绍常见三种拦截方式
a. 硬件防火墙
硬件防火墙必不可少,在针对攻击面前,所有的软件防护,以及web防护,对比硬件防火墙都是苍白无力的,所以硬件防火墙至关重要
b. 软件防火墙
这个就很多了,可以随便搜索一些实用的软件安装防护
c. WEB服务器防护
这个用的人比较多,是最基础的防护手段
3. 增加服务器宽带
在面对攻击的时候,可以临时增加服务器带宽,如果攻击者不是投入很多的攻击流量,这种方法也可行
4. CDN加速
这个方法简单,人人可用,费用也低,也有免费的,不做介绍!
这个需要我这种专业的人来解答。
首先我们要搭建域名解析系统,使用cname值的方式进行自动切换,也可以在自己的APP服务器端设置一个自动切换分配的SDK.首先高防系统的架构:移动,联通,电信,再转到流量清洗模块,转发模块,IP溯源模块,根据攻击进行防御部署,经过清洗,然后把正常玩家的IP转发到后台源服务器里去。通过转发模块可以起到很好的作用,可以把玩家的真实IP告诉服务器后端,让其与通信并加入到白名单系统里,有攻击的IP直接转发到高防系统里进行防御。棋牌游戏的高防服务器都是使用的4层流量转发,4层的转发一般都会使用高防服务器的几个IP端进行分配。
流量清洗模块是需要跟攻击检测模块一起使用的,首先攻击检测模块对高防的服务器IP进行统计到数据库里,对来的攻击IP进行检测,清洗模块主要是针对的四层流量攻击,以及SYN流量攻击,PPS防护值达到8000以上就自动开启清洗模式,针对于清洗模块都事使用集群的清理方式,一台服务器的清洗能力是有限的,一般是50G的清洗,那么多台服务器组成集群就可以到上百G的流量清洗能力了,针对于http的访问一般一台服务器的承载量在8万个QPS,集群高防服务器可以达到80万的https请求量。
通过高防服务器清洗DDOS攻击流量后,剩下的正常访客流量通过转发系统,转发到真正的APP游戏服务器里去,并加入白名单,对于各个集群服务器的监控要达到常用的监控,比如cpu, 出口带宽监控,内存占用大小监控,硬盘的大小监控,读写数据大小监控