由于与本博客无关的原因,昨天在阿根廷,有很多关于分布式拒绝服务(DDoS)攻击的讨论 与其他任何人一样,谈论这些类型的攻击可能会影响拥有网站的人和开放源代码的缓解方案,这是一个借口。
DDoS攻击
分布式拒绝服务攻击是最容易进行的攻击之一,因为它不需要很多技术知识,但同时也是最有害的一种,因为它可能使数字服务和网站离线数小时或数天。
在这类攻击中, 受害人遭受网络和服务器饱和的困扰,访问请求的数量远远超过基础架构准备处理的数量。 这导致合法用户的访问速度变慢或无法直接输入。
为了控制攻击,施暴者需要访问设备网络(通常在所有者不知情的情况下) 这些设备既可以是计算机,也可以是移动设备,也可以是物联网设备。 攻击名称中分布的单词来自以下事实:网络的组件通常不在同一地理位置。
通过恶意软件,社会工程实践或使用工厂密码来实现设备控制 用户不必费心去改变。
该僵尸网络的大小可能会有所不同 从相对较少的设备到数百万个设备。 无论大小如何,程序都是一样的。 僵尸网络的负责人可以将生成的Web流量定向到目标并进行DDoS攻击。
但是,请不要相信Web服务的任何中断或故障都是攻击的错误。 有时,想要同时访问的合法用户数量超出了基础架构可以支持的数量。 例如,发生重要比赛门票或限时优惠的情况。
在后一种情况下,不便通常只会持续一段时间。
防止DDoS攻击的开源解决方案
除此之外,作为互联网用户,每个人都有责任使用我们的设备, 有许多服务器级解决方案可用于预防和缓解这些类型的攻击。 而且,其中一些是开源的。
DdoS放气
这是一个 功能强大的脚本 基于netstat p命令的它使您可以通过识别和调查连接到服务器的IP地址来阻止攻击。
特点
-自动阻止IP地址
-流量黑白名单及其来源
-网络管理员的便捷通知和管理
-自动检测与iptables和高级策略防火墙相关的规则
-易于配置
-自动电子邮件警报
-使用tcpkill拒绝不需要的连接
-该程序在所有服务器发行版的存储库中可用。
Fail2ban
另一 herramienta 在服务器发行版的存储库中。
识别和禁止恶意DDoS流量的来源非常有用。 该程序将扫描日志文件,并识别可疑的连接和模式,以便可以将其列入黑名单。 由于使用了具有不同功能的强大模块,因此使用它可以减少非法和不正确的身份验证尝试。
特点
-提供两种类型的分析; 深度和日志文件
-记录与源IP流量关联的时区
-集成到客户端-服务器架构中
-允许处理各种服务,包括sshd,vsftpd和Apache
-管理员易于配置
-与所有防火墙兼容
-可以基于IP地址创建访问授权和禁止
-可以阻止蛮力攻击
-允许基于时间间隔阻止IP地址
-它支持基于SSH的环境
混合氧
代理服务器 它以不同的方式工作。 它不仅基于IP地址检测,而且还基于平衡服务器工作负载。
特点
-您可以根据带宽消耗阻止流量。
-它会根据其配置中建立的规则自动创建IP黑白列表的表。
-它可以识别设备网络,从而有效抵抗DDoS攻击。
-允许您阻止不同类型的攻击并限制连接。
当然,我们不会穷尽这个主题。 最好的事情是,如果您有网站,请与您的托管服务提供商联系,以寻求最佳预防措施。
你好! 像Cloudflare提供的CDN解决方案又如何呢?
它不是本文提议的一部分,但据我所知,它是完美的。
可以同时使用全部3种吗? 在我的服务器上,我总是使用fail2ban
坦白说,我不知道。