防御DDOS的一些心得

正文

首先要解释清楚一个误区

DDoS攻击使用类似屏蔽ip，关闭端口等方式是无法解决的

我们把网络比作一个水管，水流比作正常流量，而攻击比作泥沙

水管的大小就是你的带宽大小，普通的过滤只是能够把小于你水管大小的泥沙过滤掉，而当一块比你水管还大的石头直接堵塞住的时候，你在后面再怎么过滤，拉黑都是没有任何作用的，因为这块石头已经把你的水管给塞满了，无论如何水流都不可能通过

接下来才是正经的方法

mc服务器防御方法

方法1

使用srv记录隐藏真实ip

mc支持通过srv进行转发，方法是

先添加一个A记录指向真实的服务器 例: a.1.com

再添加一个srv记录 例:

记录名: _minecraft._tcp.233 记录值: 0 5 25565 a.1.com

这样你访问233.1.com就会直接被转入a.1.com:25565这个服务器，而233.1.com因为没有解析所以无法被ping解析出来

这样的问题在于，srv记录属于一种dns记录，所以使用nslookup就可以解析出记录值

只需要在cmd 输入

nslookup -q=srv _minecraft._tcp.233.1.com

就可以直接查到0 5 25565 a.1.com

所以这样对一般的人有用，而对于专门攻击服务器的人一看就看破了

方法二

采用阿里云进行转发

阿里云虽然抗ddos能力很弱(高防很贵)，但是阿里云服务器的特点是，被打死之后阿里云的服务器仍然可以连接阿里云的服务器

这样只要玩家也购买阿里云的服务器，做双层转发，即使服务器的阿里云被打死，玩家也能通过他自己的阿里云服务器进服

这样的问题是

阿里云的哪怕是学生机一个月仍然要9.5元，对于很多学生党来说，额外的支出确实是一种负担

方法三

上面阿里云的方式是让玩家增加成本，那么也可以服务端增加成本

购买高防服务器，但是一般高防服务器的成本都比较贵，所以这个主要看是看个人和服务器的经济实力

也有比较廉价的选择，例如淘宝的mc服务器购买一个来挂frp

或者使用类似樱花frp的vip高防节点

2.网站防护

现在的服务器一般都会假设官网和论坛，官网和论坛也是受攻击的目标之一

一般大家都会通过cdn解决

cdn解决也会存在部分被获取源ip的情况

邮箱获取源ip

网站注册的时候一般会发送验证邮件，而验证邮件通常都是使用smtp进行发送。多数smtp邮箱都会将发件人的ip(服务器源ip)发送给接受者，从而导致网站源ip泄露

解决办法:

1.阿里云邮箱:阿里云邮箱会将发件人ip全部修改为127.0.0.1

2.使用代发系统:邮件代发系统一般不会泄露源ip

3.自行搭建邮件服务器，然后做策略屏蔽发件人ip

SSL获取源ip

大多数论坛网站会使用https协议来加密连接

而https也会导致源站泄露，很多网络空间搜索引擎(如fofa，钟道之眼)会通过ip的443端口获取网站内容，导致证书的域名标识被记录，然后攻击者只需要在网络空间搜索引擎(如fofa，钟道之眼)搜索你的域名就会显示被记录的IP

解决办法:

利用防火墙限制80和443端口只允许cdn的回源ip访问

以上分享的是部分MRT服务器应对ddos攻击的思路

希望对你们有一定的帮助