cc压力测试_中小型网站如何防范CC攻击?
大公司就不说了,付费CDN,防火墙,WAF,大流量,一般也会配置专门的安全问题响应团队。
今天侧重讨论一下中小型网站如何(优雅)防范CC攻击。
中小站点安全问题通病:对安全问题不重视,不少iptables都是默认的,主要目标是网站能正常工作,当然也没有专门的安全运维人员。即使有的话,可能只有一个,而且还要兼它职,中小企业,多是如此,现实就是这样。
之前曾帮朋友网站应对过CC攻击,现将一些方案、心得,分享给大家。
如果执行以下方面有难题,或还未能解决,可以试试软件防火墙,虽然普便来说WAF都是几十万上百万,但市面上还是有个别平民化产品,小而美,如ShareWAF,我测试过,效果不错!不多讲了,有兴趣自己去搜一下,以免说广告。
下面是正题:
1.封IP。IP写到防火墙黑名单。
分析访问日志,封异常IP。
个人评价:不优雅,被动,但简单粗暴有一定效果。不过一般现在攻击方都是拉一堆肉鸡和IP池做代理,而且动态IP也是变动的,流量特别大的几个IP封了还好说,所有攻击IP都封掉不现实。而且解封也有点麻烦,需要自己写脚本处理。
2.服务器限流。
比如使用nginx做反向代理,可以增加设置限流。
limit_conn_zone
limit_req_zone
个人评价:有用,相对优雅,nginx的漏桶算法还是不错的。但是还是容易误杀,需要对网站性能有充分理解再来设置。
3.根据请求特征拒绝访问。
比如User-Agent或者是refer,里面会有一些固定信息,可以作为nginx拦截的依据。作为被动防御还是有用的,拦截到疑似请求后nginx直接返回403。
个人评价:基本必备,不过限制UA的时候用得多些,主要是能用于反爬虫。当然,现在已经有很多开源变化UA的方法了。对于refer特征一致的请求拦截效果意好,变化的UA嘛,有些尴尬,上面我讲的那个软件,对于反爬虫,效果非常棒。忍不住又讲一声。
4.请求跳转(转给攻击方)
就是nginx根据请求特征重定向到其它页面。建议别顺手写google,万一被谷歌判罚了就麻烦了。可以设置成攻击你的来源,给他打回去。
个人评价:也算优雅,就是返回去的请求并不一定能给攻击方造成压力,不过个人觉得这样的处理压力应该会比直接返回403、404来得大。
5.用CDN带的CC防御功能
个人评价:没用过,不评价。欢迎有用过的朋友反馈下效果。
6.提高网站性能
个人评价:如果是在限流情况下还能被CC攻击搞崩的网站,的确也需要性能自测一波,优化下代码了。
cc压力测试_中小型网站如何防范CC攻击?相关推荐
- cc压力测试_斯坦福大学鲍哲南院士AFM综述:教你如何设计压力传感器的微结构...
压力传感器在消费电子.医疗和机器人等领域的重要性已无需赘述.伴随着电子皮肤等概念的飞速发展,更轻.更薄.可穿戴的压力传感器层出不穷.现阶段,科学家已经在这一领域积累了大量的工程经验和理论基础.当我们站 ...
- 模拟黑客思维对网站进行CC压力测试!(二)
玩计算机的老炮儿都知道买回来一台新机器,都需要烤机,也就对主机性能进行测试,一般三天,不死机,没有故障就是可以了.现在每天都上线N个网站,有几个对自己的网站进行过性能测试,压力测试,安全检测呢?网站线 ...
- 怎样对流媒体进行压力测试_对node工程进行压力测试与性能分析「干货」
作者:小黎 转发链接:https://mp.weixin.qq.com/s/WBe7ZLoqFD9UqNusnv_IDA 前言 在系统上线前,为了看下系统能承受多大的并发和并发下的负载情况,常常会先进 ...
- java 压力测试_使用 JMeter 完成常用的压力测试
讲到测试,人们脑海中首先浮现的就是针对软件正确性的测试,即常说的功能测试.但是软件仅仅只是功能正确是不够的.在实际开发中,还有其它的非功能因素也起着决定性的因素,例如软件的响应速度.影响软件响应速度的 ...
- 服务器压力测试_魔兽世界怀旧服:美服18日开放安其拉开门测试,P5阶段即将来临...
了解魔兽最新资讯,关注小乖闪闪.大家好,我是小乖.<魔兽世界>怀旧服P5阶段已经在外服开放测试.就在近日,美服又一次发布蓝贴,其内容主要是<魔兽世界>怀旧服PTR将于18日星( ...
- jmeter压力测试_用Jmeter实现对接口的压力测试
一.多个真实用户对接口的压力测试 1. 获取多个真实用户的token的两种方法: 1)第一种:让开发帮忙生成多个token(多个用户账户生成的token),导出为csv格式的文件(以下步骤均以该方法为 ...
- jmeter压力测试_如何使用Jmeter进行压力测试?这篇入门讲解拿去不谢!
一.下载安装jmeter 这里不多说了,大家可以自行下载. 二.运行jmeter.bat 在bin目录下,使用管理员方式运行jmeter.bat 随之会打开jmeter的GUI界面,注意不要关闭运行的 ...
- postman压力测试_如何用Postman简单做接口自动化
一.什么是自动化测试 把人对软件的测试行为转化为由机器执行测试行为的一种实践. 例如GUI自动化测试,模拟人去操作软件界面,把人从简单重复的劳动中解放出来 本质是用代码去测试另一段代码,属于一种软件开 ...
- 服务器压力测试_性能测试相关的面试题
1.请问什么是性能测试.负载测试.压力测试? 性能测试:对一个软件系统而言,包括执行效率.资源占用.系统稳定性.安全性兼容性.可扩展性等. 负载测试:指在超负荷环境中运行,确定系统的处理能力,以及系统 ...
最新文章
- 用Python几行代码实现简单的人脸识别,10分钟完成(附源码)
- 日产ftt传感器是什么_日产将发布最牛自动驾驶:选最棒的陪驾,走最快的车道...
- ScriptManager同时存在于两个dll中的问题
- 微软开源 Tye 项目,可简化微服务开发
- 为什么ps图片打开是色块_PS教程 我的PS我做主之山村调色
- 计算机二级offic高级应用备考,备考2021计算机二级—二级MS Office高级应用高频考点.pdf...
- 为什么李彦宏和雷军在一起了?
- 大批量安装系统的解决方案(集锦)
- 手机写代码 termux
- html简单网页源代码表格,HTML 表格
- 数据元素之间的逻辑关系的整体称为数据的逻辑结构
- 芯片代理商哪家专业 品质是否有保障
- TP5 生成微信小程序海报图
- C语言--实现状态机
- (2) Hive安装
- cst matlab,CST与Matlab连接设置
- 【已解决】ping: www.baidu.com: 未知的名称或服务
- ImageCombiner图片合成工具
- Spring Integration概述
- Android系统静默安装预置应用宝