原文网址：网站防御DDoS的方案--高防节点(高防IP)_IT利刃出鞘的博客-CSDN博客

简介

本文介绍如何使用高防节点防御DDoS攻击。

本文包含的内容有：DDos的概念，高防节点的防御原理，提供高防节点的一些厂家，高防节点的配置方式。

什么是DDoS

DDoS概念

DDoS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”。

定义：通过占用网络服务的资源让服务器应接不暇，从而拒绝正常的业务流量的一种网络攻击方式。通俗来讲：DDoS就是占用带宽等资源，让正常的用户也无法访问，从而达到攻击目的。

DDoS攻击原理

攻击者用很多台服务器（攻击者），针对某ip（被攻击者）进行攻击。比如：一直访问这个ip的主页。（DDoS攻击的是ip，CC攻击的是域名）。

这些攻击者服务器也可以称为：“肉鸡”、“傀儡机”、“僵尸机”。（后边我用“傀儡机”来称呼攻击者服务器）。

傀儡机一般都不是真正的ip，很难找到攻击者。

所以，我们一定要保证自己的真实的ip不要暴露出来，这样才不容易被攻击。

DDoS攻击成本

几十块钱就可以发动一次DDoS攻击。

被攻击者服务器被攻击的流量超过一定限度，则会被服务器厂商给断开服务，因为服务器厂商也是要保护自己的。以阿里云服务器为例，默认情况下它是毫无防护的，受到一点点攻击，它就把受攻击的ip对应的那个服务器给扔到“黑洞”（可以理解为断开网络），过一段时间（一般是24小时）之后才会把它从“黑洞”拿出来。

DDoS是违法的，抓到就会判刑。但是有人就会铤而走险，比如：有人会花钱让人攻击同行的网站。

高防节点的防御原理

防御DDoS的方案有很多，比如：DNS、经常通过Nginx来切ip、买高防节点、买高防CDN（适用于静态网页）。

最好的方案就是买高防节点，本处介绍高防节点的防御原理。

高防节点的防御原理是：外部访问链接的时候，先经过高防服务器节点，高防节点再转发到我们自己的服务器。高防节点会进行黑白名单的过滤、限流、图形验证码等操作，最终到达我们真实服务器的流量就基本是正常业务的数据了。厂商是专门做服务器防御的，他们会有很多CDN节点，能抗很多流量。

高防节点厂商

大厂

厂商	防御能力	价格	备注
Cloudflare	很好。	免费：不限流量。若受到太多攻击，会收20美金/月。	因为是国外的，所以会对访问速度产生一点影响。
阿里云	防御效果并不好。	很贵。最低一万六一个月
腾讯云	防御效果并不好。	很贵。
华为云	防御还行。有公司使用华为云，从来没被攻击过。	很贵。
运营商	防御还行。	价格中等。	电信+联通节点

小厂

厂商	防御能力	价格	备注
群英	很好。	100G：3500元	推荐
知道创宇抗D宝	很好。	2G：免费	推荐
黑洞（绿盟）	很好。
太极盾	很好。
金盾（中新）
傲盾（傲盾安全网）

高防节点的配置方式

有了高防节点，你可以选择 2 个方案进行配置：

Iptables
1. 使用 Iptables 的 DNAT 技术，让流量通过高防后，转发到源站；
2. 优点：配置简单
3. 缺点：源站无法获取客户的真实IP
Nginx 的反向代理
1. 优点：源站可以获取客户真实 IP
2. 缺点：源站有多少域名都需要在 Nginx 的反向代理里配置。

当前这 2 个方案，都得结合 DNS 技术，需要把高防的 IP 解析到域名，一般高防多节点会给你 2 个 IP，一个是电信，一个是联通，所以你需要在 DNS 里解析这 2 个 IP，我使用 DNSPOD，所以你可以参考下面

在"线路类型"这里，默认与电信线路都解析到高防的电信里，联通就解析到联通里，TTL 时间最好能短一些，如果有问题可以快速切换，但由于我这个是免费dnspod，所以只能是 600 秒了。

另外如果想使用高防，你源站 IP 也需要先切换到一个新的 IP，因为旧的已经暴漏，如果不换 IP，可能导致对方直接攻击你源站，并且切换到新 IP 后，80端口也只允许高防 IP 获取数据。

下面介绍如果使用 Iptables 的 DNAT 与 Nginx 反向代理。

IPTABLE 的 DNAT

1. 配置转发功能

sysctl -w net.ipv4.ip_forward=1

2. 配置 Iptables

*nat
:PREROUTING ACCEPT [9:496]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP
COMMIT
# Generated by iptables-save v1.4.7 on Wed Feb 22 11:49:17 2017
*filter
:INPUT DROP [79:4799]
:FORWARD ACCEPT [37:2232]
:OUTPUT ACCEPT [150:21620]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,10050 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
COMMIT

针对上面高防电信 IP、高防联通 IP、源站 IP、源站 web 端口、公司机房网段进行修改。

完成后重启 Iptables 就可以生效（dnspod 的配置别忘记），源站不需要修改任何配置。

Nginx 的反向代理

1. 安装

yum 或编译都行，但如果想让源站获取真实用户 IP 需要新增模块（高防与源站都需要有此模块）

--with-http_realip_module

这个模板默认 yum 安装是已存在，如果不知道自己有哪些模块可以使用下面命令查看

nginx -V

2. 在高防的 Nginx 的里配置

upstream web {server xxx.xxx.xxx.xxx:80;
}
server {listen 80;server_name notice1.ops.xxx.xxx;client_max_body_size 10M;proxy_read_timeout 30;access_log /var/log/nginx/access_notice.log;error_log /var/log/nginx/error_notice.log;location / {proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Host $host;proxy_redirect off;proxy_headers_hash_max_size 51200;proxy_headers_hash_bucket_size 6400;proxy_pass http://web;}
}

需要修改 upstream web 里的 server 源站 IP 与端口，以及 server_name 那里的域名。

最后你需要在 Iptables 里开通本机 80 允许公网访问。

3. 在源站的 Nginx 里配置

server {listen 80;server_name notice1.ops.xxx.xxx;index index.html index.htm index.php;root /var/www/html/;access_log /var/log/nginx/notice-access.log;error_log /var/log/nginx/notice-error.log;error_page 502 = /502.html;location ~ .*\.(php|php5)?$ {fastcgi_pass unix:/tmp/php-cgi.sock;fastcgi_index index.php;include fastcgi.conf;}location / {proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Host $host;proxy_redirect off;set_real_ip_from xxx.xxx.xxx.xxx;real_ip_header X-Real-IP;}location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|mp3)$ {expires 30d;}location ~ .*\.(js|css)?$ {expires 12h;}
}

主要需要修改的是 server_name 与 set_real_ip_from，后者是需要填写高防的 IP。

完成后重启 Nginx，并且在 Iptables 防火墙里设置只允许高防 IP 访问自己本地 80。

另外如果你有多个域名，就写多个虚拟主机配置文件就好。

目前高防方案只能防护 100G 以下攻击，如果攻击超过 100G，你可以选择阿里云盾的，可以最高支持 300G 的，另外真的要是超过了 100G 攻击，你可以联系网监了。

网站防御DDoS的方案--高防节点(高防IP)相关推荐

守住你的网站:防御DDoS***指南
随着Internet互联网络带宽的增加和多种DDOS***工具的不断发布,DDOS拒绝服务***的实施越来越容易,DDOS***事件正在成上升趋势,解决DDOS***问题成为网络服务商必须考虑的头等大 ...
高防CDN在防御DDoS攻击中必不可少？简析高防CDN针对防御DDoS攻击的可行方案
人们在享受着由网络带来的便利时也承担着巨大风险,面对DDoS攻击不断挑衅,高防CDN也不甘示弱,持续网站防御DDoS攻击,为营造良好的网络环境而一直奋斗. DDoS 的危害 DDoS(Distribu ...
100g的攻击大概是多少钱一天？高防IP防御DDOS的原理是什么？
最近很多的小伙伴在问这个问题, 今天小蚁君本着公平公正的态度来回答这个问题首先今年是2022年,目前攻击值已经达到了t级别以上,1t=1024g,100g相当于1t的大约十分之一,那么如果100g的 ...
小程序如何防御DDOS攻击？
近几年来,国内比较流行小程序,而由于小程序较多,黑客也盯上了小程序,小程序ddos攻击就多了起来.主机吧这边经常有收到站长们的反馈,自己家的小程序被攻击了,想要咨询如何防御小程序DDOS攻击? 小程序 ...
如何使用高防CDN防御DDOS攻击呢？
众所周知,DDOS攻击是一种恶意的攻击手段,主要以消耗网络带宽的攻击手段.快快网络官网新上线的高防CDN可以高效防御DDOS攻击,那么,如何使用高防CDN防御DDOS攻击呢? 高防CDN的原理就是构建 ...
高防IP是如何来防御DDoS攻击的呢？
DDoS攻击是目前互联网中最常见的网络攻击方式之一,通过大量虚假流量对目标服务器进行攻击,堵塞网络耗尽服务器性能,导致服务器崩溃,真正的用户也无法正常访问了.以前大型企业常用的防御手段就是高防服务器, ...
servu ip段访问_高防IP是如何防御DDOS/CC攻击的，防御原理是什么？
高防IP是网络安全公司针对解决互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况,推出的付费增值服务.企业可以通过配置DDoS高防IP服务,把域名解析到高防IP(Web业务把域名解析指向高防 ...
ddos打高防服务器_高防服务器防御DDOS***、CC***方法？
一.确保服务器系统安全的:确保服务器的系统文件是最新版本,并及时更新系统补丁;管理员需要检查所有主机,知道访客的来源;关闭不必要的服务:删除服务器上未使用的服务,关闭未使用的端口;限制同时打开的SYN ...
APP适合用什么高防来防御ddos攻击
APP适合用什么高防来防御ddos攻击 30T储备带宽,单点最大2Tbps清洗能力. 可以防护SYN Flood.UDP Flood.ACK Flood.ICMP Flood.DNS Query Fl ...

网站防御DDoS的方案--高防节点(高防IP)

简介