DDOS防御是个很重要的课题,对于大公司来说,有很多资源可以调配,但对小型应用来说,却是灭顶之灾。这个主要讨论下,如何让小型的应用最大限度的抵御DDOS。
首先,我们要针对的是,导致带宽耗尽的情况。至于碎片攻击或者针对操作系统漏洞的情况就不考虑了。我们知道,DDOS最常用的方式,是利用大量的肉鸡在同一时刻发起攻击,导致某个服务系统无法响应合法的请求。通常来说,一个网络服务总是以一个域名为标记的,比如g.cn。DDOS的目标就是以G.CN无法响应合法用户请求为目标。
我们知道,一个合法的请求和响应,总是要经过几个步骤:
1、域名解析G.CN-->74.125.95.160
2、向该IP发起请求
3、接收结果返回
在常用的做法中,由域名服务器管理多个IP对应一个域名来实现负载均衡。或者在一个IP后面建立一个集群。一个DDOS的发起,最终总是针对于一个具体的IP,如果多个IP对应同一个域名,那么必须同时让所有的IP服务失效。对于一个小型的应用来说,这个显然不现实。那么,我们如果要防御DDOS,只能有2种可能:1、让攻击的目标IP不再是自己的;2、让攻击找不到自己的IP,将DDOS扼杀在发动的之前。这2种方案完全将游击战术发展到极致,就是“藏”。
我们知道,类似宽带之类的就是一个动态IP,当宽带遭到DDOS的时候,很容易就崩溃了,因为他的带宽十分有限。但是,这种情况下,如果重新刷新IP,这时,DDOS所攻击的IP地址就被转移到其他地方去,而自己的机器就得到保护。同时,也带来了另外一个问题,访问者如果保证及时准确获得新的IP呢?我们知道花生壳之类,提供了这种动态域名解析。如果攻击者要攻击花生壳的域名解析,显然代价要大的多。由于攻击者不是合法的服务器的合法用户,所以,他对动态域名的变化是不敏感的,这样就能导致他的攻击失效。这种办法采用的是第一种方案。
第二种方案需要客户端的配合。因为我们要隐藏真实的IP,但同时要让合法的客户所知道,因此,我们必须有一个协议,让合法的用户得到我们真实的IP,显然,我们需要第三方来发布真实IP,而这第三方又是DDOS无力攻击,或者攻击代价很大的服务商。我选择CODE.GOOLE.COM作为发布位置,为什么呢?首先,GOOGLE的带宽和强大的服务器保证我们发布地不会垮掉。我们在CODE上发布一组文件,这个文件包含用户名、用户密码、公钥为主要索引HASH出来的值,客户端知道自己的用户密码以及公钥,就能获取准确的文件,然后从文件的内容中解析出真实的IP。
以上2个办法从不同的角度,提高发动攻击的难度,从而保护了我们的真实服务器。
显然,如果攻击者是我们的合法用户的话,那么,他将同样能够捕捉到真实的IP。如果这样的话,那么除了换IP,似乎没有其他办法了。
原文链接:https://www.f2er.com/javaschema/287602.html