当前位置:首页 > 教程 > 正文

防御DDOS的一些心得

正文

首先要解释清楚一个误区

DDoS攻击使用类似屏蔽ip,关闭端口等方式是无法解决的

我们把网络比作一个水管,水流比作正常流量,而攻击比作泥沙

水管的大小就是你的带宽大小,普通的过滤只是能够把小于你水管大小的泥沙过滤掉,而当一块比你水管还大的石头直接堵塞住的时候,你在后面再怎么过滤,拉黑都是没有任何作用的,因为这块石头已经把你的水管给塞满了,无论如何水流都不可能通过

接下来才是正经的方法

mc服务器防御方法

方法1

使用srv记录隐藏真实ip

mc支持通过srv进行转发,方法是

先添加一个A记录指向真实的服务器 例: a.1.com

再添加一个srv记录 例:

记录名: _minecraft._tcp.233 记录值: 0 5 25565 a.1.com

这样你访问233.1.com就会直接被转入a.1.com:25565这个服务器,而233.1.com因为没有解析所以无法被ping解析出来

这样的问题在于,srv记录属于一种dns记录,所以使用nslookup就可以解析出记录值

只需要在cmd 输入

nslookup -q=srv _minecraft._tcp.233.1.com

就可以直接查到0 5 25565 a.1.com

所以这样对一般的人有用,而对于专门攻击服务器的人一看就看破了

方法二

采用阿里云进行转发

阿里云虽然抗ddos能力很弱(高防很贵),但是阿里云服务器的特点是,被打死之后阿里云的服务器仍然可以连接阿里云的服务器

这样只要玩家也购买阿里云的服务器,做双层转发,即使服务器的阿里云被打死,玩家也能通过他自己的阿里云服务器进服

这样的问题是

阿里云的哪怕是学生机一个月仍然要9.5元,对于很多学生党来说,额外的支出确实是一种负担

方法三

上面阿里云的方式是让玩家增加成本,那么也可以服务端增加成本

购买高防服务器,但是一般高防服务器的成本都比较贵,所以这个主要看是看个人和服务器的经济实力

也有比较廉价的选择,例如淘宝的mc服务器购买一个来挂frp

或者使用类似樱花frp的vip高防节点

2.网站防护

现在的服务器一般都会假设官网和论坛,官网和论坛也是受攻击的目标之一

一般大家都会通过cdn解决

cdn解决也会存在部分被获取源ip的情况

邮箱获取源ip

网站注册的时候一般会发送验证邮件,而验证邮件通常都是使用smtp进行发送。多数smtp邮箱都会将发件人的ip(服务器源ip)发送给接受者,从而导致网站源ip泄露

解决办法:

1.阿里云邮箱:阿里云邮箱会将发件人ip全部修改为127.0.0.1

2.使用代发系统:邮件代发系统一般不会泄露源ip

3.自行搭建邮件服务器,然后做策略屏蔽发件人ip

SSL获取源ip

大多数论坛网站会使用https协议来加密连接

而https也会导致源站泄露,很多网络空间搜索引擎(如fofa,钟道之眼)会通过ip的443端口获取网站内容,导致证书的域名标识被记录,然后攻击者只需要在网络空间搜索引擎(如fofa,钟道之眼)搜索你的域名就会显示被记录的IP

解决办法:

利用防火墙限制80和443端口只允许cdn的回源ip访问

以上分享的是部分MRT服务器应对ddos攻击的思路

希望对你们有一定的帮助


0
您需要 登录账户 后才能发表评论

发表评论