DDOS攻击,迄今为止没有一个特别完美的解决方案
DDOS 分布式拒绝服务,全称distributed denial of service .
简单来讲就是一种耗尽资源的攻击,系统中只要是“有限”的资源,都可能被无限的滥用,导致正常用户无法使用.
网络层:
TCP的三次握手,伪造的请求不进行最后一次ack确认时,服务器就会进行重试,并等待一个syn time时间,超时后丢掉这个请求.
大量的此类请求,就会耗尽服务器资源,导致正常的请求无法得到响应.
对抗syn flood方法,1syn cookies 2syn proxy 3可以将syn time时间设置短点儿
1、syn cookies,为每个ip分配一个cookies,并统计每个ip地址的访问频率,如果短时间内收到大量的来自同一个Ip地址的数据包,则认为收到攻击,对此ip的包进行丢弃
但会被有众多“肉鸡” 或者“傀儡机”,上面的方法被攻破
3、将syn time的超时时间设置短一些,可能会影响 正常用户的一些操作
应用层:
cc攻击,对一些消耗资源大的应用页面不断发起正常的请求,以达到消耗服务器资源的母的。
对于查询数据库,读/写硬盘文件等操作,相对比较消耗资源.或者利用某种黑客技术将大部分流量引向某个网站,可能会导致目标网站拒绝服务
解决方案,频率高的数据放在memcache中;
或者对apache的一些配置的修改,也可以缓减应用层的DDOS攻击,比如mod_qos的配置,mod_evasive配置