防御DDOS的一些心得
- 教程
- 2021-09-19
- 2029
正文
首先要解释清楚一个误区
DDoS攻击使用类似屏蔽ip,关闭端口等方式是无法解决的
我们把网络比作一个水管,水流比作正常流量,而攻击比作泥沙
水管的大小就是你的带宽大小,普通的过滤只是能够把小于你水管大小的泥沙过滤掉,而当一块比你水管还大的石头直接堵塞住的时候,你在后面再怎么过滤,拉黑都是没有任何作用的,因为这块石头已经把你的水管给塞满了,无论如何水流都不可能通过
接下来才是正经的方法
mc服务器防御方法
方法1
使用srv记录隐藏真实ip
mc支持通过srv进行转发,方法是
先添加一个A记录指向真实的服务器 例: a.1.com
再添加一个srv记录 例:
记录名: _minecraft._tcp.233 记录值: 0 5 25565 a.1.com
这样你访问233.1.com就会直接被转入a.1.com:25565这个服务器,而233.1.com因为没有解析所以无法被ping解析出来
这样的问题在于,srv记录属于一种dns记录,所以使用nslookup就可以解析出记录值
只需要在cmd 输入
nslookup -q=srv _minecraft._tcp.233.1.com
就可以直接查到0 5 25565 a.1.com
所以这样对一般的人有用,而对于专门攻击服务器的人一看就看破了
方法二
采用阿里云进行转发
阿里云虽然抗ddos能力很弱(高防很贵),但是阿里云服务器的特点是,被打死之后阿里云的服务器仍然可以连接阿里云的服务器
这样只要玩家也购买阿里云的服务器,做双层转发,即使服务器的阿里云被打死,玩家也能通过他自己的阿里云服务器进服
这样的问题是
阿里云的哪怕是学生机一个月仍然要9.5元,对于很多学生党来说,额外的支出确实是一种负担
方法三
上面阿里云的方式是让玩家增加成本,那么也可以服务端增加成本
购买高防服务器,但是一般高防服务器的成本都比较贵,所以这个主要看是看个人和服务器的经济实力
也有比较廉价的选择,例如淘宝的mc服务器购买一个来挂frp
或者使用类似樱花frp的vip高防节点
2.网站防护
现在的服务器一般都会假设官网和论坛,官网和论坛也是受攻击的目标之一
一般大家都会通过cdn解决
cdn解决也会存在部分被获取源ip的情况
邮箱获取源ip
网站注册的时候一般会发送验证邮件,而验证邮件通常都是使用smtp进行发送。多数smtp邮箱都会将发件人的ip(服务器源ip)发送给接受者,从而导致网站源ip泄露
解决办法:
1.阿里云邮箱:阿里云邮箱会将发件人ip全部修改为127.0.0.1
2.使用代发系统:邮件代发系统一般不会泄露源ip
3.自行搭建邮件服务器,然后做策略屏蔽发件人ip
SSL获取源ip
大多数论坛网站会使用https协议来加密连接
而https也会导致源站泄露,很多网络空间搜索引擎(如fofa,钟道之眼)会通过ip的443端口获取网站内容,导致证书的域名标识被记录,然后攻击者只需要在网络空间搜索引擎(如fofa,钟道之眼)搜索你的域名就会显示被记录的IP
解决办法:
利用防火墙限制80和443端口只允许cdn的回源ip访问
以上分享的是部分MRT服务器应对ddos攻击的思路
希望对你们有一定的帮助
本站所发布的全部内容源于互联网搬运,仅限于小范围内传播学习和文献参考 请在下载后24小时内删除,如果有侵权之处请第一时间联系我们删除。 敬请谅解! E-mail:tudoumc@foxmail.com
本文链接:https://tudoumc.com/post/378.html