惡意流量攻擊通常指的是DDOS攻擊。DDOS攻擊: (Distributed Denial of Service) 簡稱DDOS,中文意思是分布式拒絕服務攻擊。簡單的來說就是一種針對目標系統(tǒng)的惡意攻擊行為,會導致被攻擊者的業(yè)務無法正常訪問,甚至服務器癱瘓。
舉個“栗子”:
我坐上一輛公交車,正常情況下,最多可以容納24個人。你可以輕輕松松的找個位置坐下,安安靜靜的欣賞車外的車來車往,聽著車里的到站播報,等待到達自己的目的地,快速下車。
很不幸,來了一群剛剛跳完廣場舞的大媽,導致上車的乘客遠大于公交車最大載客量,這些人看上去跟正常的顧客一樣,每個都說"趕快開車,要趕回去做某某事"。但是,公交車的座位只有24個人,根本不可能同時滿足這么多的坐車需求,加上他們把門口都堵死了,里三層外三層,還大嗓門的吵吵嚷嚷,要求讓座,把過道擠得滿滿當當,不管是下一站要上車的還是要下車的都不方便 車子也開不動了
這就是 DDoS 攻擊,它在短時間內(nèi)發(fā)起大量請求,耗盡服務器的資源,無法響應正常的訪問,造成網(wǎng)站實質(zhì)下線。
DDoS 里面的 DoS 是 denial of service(停止服務)的縮寫,表示這種攻擊的目的,就是使得服務中斷。最前面的那個 D 是 distributed (分布式),表示攻擊不是來自一個地方,而是來自四面八方,因此更難防。你關了前門,他從后門進來;你關了后門,他從窗口跳起來。
1.采用高性能的網(wǎng)絡設備
首先要保證網(wǎng)絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡提供商有特殊關系或協(xié)議的話就更好了,當大量攻擊發(fā)生的時候請他們在網(wǎng)絡接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的。
2.盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網(wǎng)絡地址轉(zhuǎn)換NAT的使用,因為采用此技術會較大降低網(wǎng)絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3.充足的網(wǎng)絡帶寬保證
網(wǎng)絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注意的是,主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4.升級主機服務器硬件
在有網(wǎng)絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內(nèi)存,若有志強雙CPU的話就用它,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別貪圖IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5.將網(wǎng)站做成靜態(tài)頁面或者偽靜態(tài)
事實證明,將網(wǎng)站做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還能給黑客入侵帶來不少麻煩,至少到現(xiàn)在為止關于HTML的溢出還沒出現(xiàn)。現(xiàn)在很多門戶網(wǎng)站主要都是靜態(tài)頁面,若你非要動態(tài)腳本調(diào)用,那就把它弄到另外一個單獨主機,免得遭受攻擊時連累主服務器。當然,適當放一些不做數(shù)據(jù)庫調(diào)用的腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
6.增強操作系統(tǒng)的TCP/IP棧
win2000和win2003作為服務器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態(tài)下沒有開啟而已,若開啟的話可抵抗約10000個SYN攻擊包,若沒有開啟則僅能抵抗數(shù)百個。
7.安裝專業(yè)抗DDOS防火墻
8.HTTP請求攔截
如果惡意請求有特征,對付起來很簡單,直接攔截就可以。HTTP請求的特征一般有兩種:IP地址和User Agent字段。
9.備份網(wǎng)站
你要有一個備份網(wǎng)站,或者最低限度有一個臨時主頁。生產(chǎn)服務器萬一下線了,可以立刻切換到備份網(wǎng)站,不至于毫無辦法。
備份網(wǎng)站不一定是全功能的,如果能做到全靜態(tài)瀏覽,就能滿足需求,最低限度應該可以顯示公告,告訴用戶,網(wǎng)站出了問題,正在搶修。這種臨時主頁建議放到Github Pages或者Netlify,它們的帶寬大,可以應對攻擊,而且都支持綁定域名,還能從源碼自動構建。
10.部署CDN
網(wǎng)站內(nèi)容存放在源服務器,CDN上面是內(nèi)容的緩存。用戶只允許訪問CDN,如果內(nèi)容不在CDN上,CDN再向源服務器發(fā)出請求。這樣的話,只要CDN夠大,就可以抵御很大的攻擊。不過,這種方法有一個前提,網(wǎng)站的大部分內(nèi)容必須可以靜態(tài)緩存。對于動態(tài)內(nèi)容為主的網(wǎng)站,就要想別的辦法,盡量減少用戶對動態(tài)數(shù)據(jù)的請求;本質(zhì)就是自己搭建一個微型CDN。各大云服務商提供的高防IP,背后也是這樣做的:網(wǎng)站域名指向高防IP,它提供了一個緩沖層,清洗流量,并對源服務器的內(nèi)容進行緩存。
這里有一個關鍵點,一旦上了CDN,千萬不要泄露源服務器的IP地址,否則攻擊者可以繞過CDN直接攻擊源服務器,前面的努力都白費了。
11.定期掃描漏洞,時打上補丁
要確保服務器軟件沒有任何漏洞,防止攻擊者入侵。確保服務器采用最新系統(tǒng),并打上安全補丁。
12.過濾不必要的服務和端口
過濾不必要的服務和端口,即過濾路由器上的假IP…只打開服務端口已經(jīng)成為許多服務器的一種流行做法,例如WWW服務器,它只打開80個端口,關閉所有其他端口或在防火墻上阻止它們。
13.檢查訪客來源
使用單播反向路徑轉(zhuǎn)發(fā)等方法,通過反向路由器查詢,檢查訪客IP地址是否為真,如果為假,則屏蔽。許多黑客經(jīng)常使用假IP地址來迷惑用戶,很難找到它的來源。因此,使用單播反向路徑轉(zhuǎn)發(fā)可以減少假IP地址的發(fā)生,有助于提高網(wǎng)絡安全性。
14.采用高防服務器,保證服務器系統(tǒng)的安全
DDOS高防服務器主要是指獨立單個硬防防御應對DDOS攻擊和CC攻擊100G以上的服務器,可以為單個客戶提供安全維護,根據(jù)各個IDC機房的環(huán)境不同,有的提供有硬防,有使用軟防。簡單來說,就是能夠幫助網(wǎng)站拒絕服務攻擊,并且定時掃描現(xiàn)有的網(wǎng)絡主節(jié)點,查找可能存在的安全漏洞的服務器。
2.假如有數(shù)據(jù)的備份,請立刻購買新的服務器,在備用服務器上恢復數(shù)據(jù)后,就可以立刻恢復業(yè)務。等待主服務器恢復或者攻擊結束,請及時更換主服務器ip,并且設置cdn等安全服務。
3.假如沒有數(shù)據(jù)備份?請立刻將域名解析取消,然后聯(lián)系服務商更換服務器IP,一般情況下,ddos導致的無法訪問是ip的空路由,所以更換ip就會恢復服務器的運行。等待完成IP更換后,就將CDN服務和一些針對網(wǎng)絡攻擊的防護業(yè)務使用起來,將域名重新解析后,就可以開始抵御DDOS攻擊了。這一步同樣的,如果沒有條件購買CDN或者清洗業(yè)務,請參考第一條。
4.要注意的是,一定要分清楚是CC攻擊還是DDOS,CC攻擊標準的特征就是流量消耗巨大,服務器性能被拉滿導致業(yè)務無法進行,但是CC攻擊很容易通過軟件層面防御的,根本不需要做太多的舉措。而DDOS則是一種網(wǎng)絡連接層面的大規(guī)模占用,相應的肯定要進行更加復雜的應對措施。
5.及時收集攻擊者的流量來源和盡可能多的信息,并報警處理。
6.參考攻擊前應對措施,做好最基礎的安全加固。
7.一定要記住,要及時備份數(shù)據(jù),數(shù)據(jù)最重要!只要數(shù)據(jù)還在,就可以快速恢復業(yè)務。如果是大型的平臺,數(shù)據(jù)海量的話,那更要注意數(shù)據(jù)的備份和保護。
「德迅云安全」提供高防服務器_WEB應用防火墻_DDoS高防IP_游戲盾_安全加速CDN
桌面壁紙看久了真的會膩,不過有些用戶不喜歡去尋找各種壁紙,可能會選擇一些自動切換壁紙的軟件,例如微軟的 Bing Wallpaper 以及在最新版 Win11 也內(nèi)置了 Windows Spotlight 功能可以自動幫你切換壁紙,不過這些壁紙來源都是微軟的必應,大多數(shù)都是風景類的圖,比較單調(diào)。
所以今天鋒哥給大家分享這款免費開源的「拾光壁紙」軟件,基于 UWP 開發(fā),所以只支持 Win8/10/11系統(tǒng),集成了多個高質(zhì)量壁紙源,支持每天推送自動切換桌面壁紙/鎖屏壁紙。
拾光壁紙介紹
運行軟件通過右鍵可以把壁紙設置桌面或者鎖屏,通過鼠標滾輪或者鍵盤方向鍵可以切換上一張、下一張壁紙。如果你希望每天推送更換壁紙,勾選上推送即可。對于喜歡的壁紙,你還可以收藏起來。
對于不喜歡的壁紙,還可以進行標記避免再次推送,支持我不喜歡、無法顯示、分類有誤、含有水印等。
內(nèi)置了不少圖源,基本上都是主流的壁紙網(wǎng)站,其中還有作者自建的圖源,大部分圖文精選自酷安社區(qū)網(wǎng)友提供的攝影作品。
具體圖源
自建圖源:
第三方圖源:
壁紙類型設置方面,每個圖源都支持單獨設置圖片類型(例如:二次元、風景、人物、顏色、科技、動物、汽車等),以及可選排序方式,支持熱度、隨機、收錄時間。
其它功能方面,也支持本地圖庫、支持切換主題顏色、查看你的收藏圖片、默認保存路徑會在 \Pictures\拾光文件夾,以及可以手動編輯配置文件,可以設置壁紙推送的頻率等。另外作者也在尋求 CDN 贊助,熱心的小伙伴可以考慮一波。
總結
這款「拾光壁紙」可以說是目前用過的最良心、最強的壁紙軟件了,完全免費、純凈、內(nèi)置多個主流的壁紙源、作者還自建了 API 圖庫、基本上可以滿足所有人對不同壁紙類型的需求了吧。哦對了,作者有沒有考慮加入下動態(tài)壁紙源?