图6 云抗DDOS攻击应用方案
(1)首先需要购买高防IP服务,根据需要选择,建议选择BGP高防。高防IP服务一般有保底防护带宽和弹性防护带宽,弹性防护带宽需要根据实际防护量单独再收费。
(2)配置DDOS防护策略,需要将域名、回源配置设置好,如果是CC攻击防护,还需要将HTTPS证书导入到抗DDOS防护中心。
(3)验证配置是否正确,可以修改本地电脑的hosts文件,改到高防IP上,然后通过域名访问,看是否已生效。
(4)实际使用时,将DNS切换到云抗DDOS中心,一般通过修改CNAME或A记录即可。
2.云抗DDOS攻击注意事项(1)在实际应用过程中,建议将抗DDOS的源站线路和日常源站线路分开,且抗DDOS攻击的源站IP没有被暴露过。因为一般发生攻击时,源站线路的IP可能被ISP黑洞,短时间内无法使用;另外如果更换一个同一个网段的IP作为新的源站IP,很容易被黑客猜到。
(2)主站IP要和其他服务站点的IP分开,因为主站IP经常可能遭受攻击,这样可以降低攻击的影响面。
(3)需要放行云DDOS防护中心的网段,避免被防火墙、IPS、WAF等设备阻断(因为同IP的请求频率会变高)。另外需要考虑透传真实用户请求IP,用于进行统计分析等应用。
(4)需要考虑服务延时,需要考虑云抗DDOS中心机房和源站的地理位置,如果离得太远,很有可能会增加访问延时。
(5)一般不建议将流量一直切换到抗DDOS中心,只有遭受攻击时再切换。或者当有重要活动时,可以事先切换上去,避免遭受攻击时DNS切换的时间,影响重要业务活动。
(6)对于CC攻击,第一优先防护方案是WAF,如果实在不行,再切换到抗DDOS中心。
典型应用案例
1.背景
某公司,主机房服务器托管在数据中心,灾备机房在云上。主要应用为网站和APP,经常遭受DDOS攻击,影响业务开展。
2.DDOS防护方案- 采购某云DDOS厂商服务,10G BGP 弹性防护扩展。
- 使用专用线路用于抗DDOS回源。
- 攻击时通过DNS切换将流量切到高防IP上,营销活动开展时,事先将流量切到高防上。
- HTTPS证书配置到DDOS设备上。
- 流量型攻击防护效果比较理想,CC攻击防护效果也不错(需要和厂商配合进行策略优化)。
看到这里的大佬,动动发财的小手 点赞 回复 收藏,能【 关注 】一波就更好了
我是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家,回馈每一个读者,希望能帮到你们。
干货主要有:
①2000多本网安必看电子书(主流和经典的书籍应该都有了)
②PHP标准库资料(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ 网络安全基础入门、Linux运维,web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ 渗透测试工具大全
⑦ 2021网络安全/Web安全/渗透测试工程师面试手册大全
各位朋友们可以关注 评论一波 然后私信【资料】即可获取领取方式
