如何防禦CC攻擊?常用方法有哪些?

老男孩IT教育機構發表於2022-06-07

  在當下,網路攻擊已經屢見不鮮,而DDoS作為網路攻擊最常見的攻擊方式,其具有很大的危害性,防禦係數也非常之大;不僅如此,DDoS攻擊還被分為多種型別,CC攻擊就是DDoS攻擊最常見的一種。那麼CC攻擊防禦方法有哪些?本文為大家介紹一下。

  對於CC攻擊,其防禦必須採用多種方法,而這些方法本質上也是在提高伺服器的併發能力。

  1、伺服器垂直擴充套件和水平擴容

  資金允許的情況下,這是最簡單的一種方法,本質上講,這個方法並不是針對CC攻擊的,而是提升服務本身處理併發的能力,但確實提升了對CC攻擊的承載能力。垂直擴充套件:是指增加每臺伺服器的硬體能力,如升級CPU、增加記憶體、升級SSD固態硬碟等。水平擴容:是指透過增加提供服務的伺服器來提升承載力。上述擴充套件和擴容可以在服務的各個層級進行,包括:應用伺服器、資料庫伺服器和快取伺服器等等。

  2、資料快取

  對於服務中具備高度共性,多使用者可重用,或單使用者多次可重用的資料,一旦從資料庫中檢索出,或透過計算得出後,最好將其放在快取中,後續請求均可直接從快取中取得資料,減輕資料庫的檢索壓力和應用伺服器的計算壓力,並且能夠快速返回結果並釋放程式,從而也能緩解伺服器的記憶體壓力。要注意的是,快取不要使用檔案形式,可以使用redis、mem-cached等基於記憶體的nosql快取服務,並且與應用伺服器分離,單獨部署在區域網內。區域網內的網路IO肯定比起磁碟IO要高。為了不使區域網成為瓶頸,千兆網路也是有必要的。

  3、頁面靜態化

  與資料快取一樣,頁面資料本質上也屬於資料,常見的手段是生成靜態化的html頁面檔案,利用客戶端瀏覽器的快取功能或者服務端的快取服務,以及CDN節點的緩衝服務,均可以降低伺服器端的資料檢索和計算壓力,快速響應結果並釋放連線程式。

  4、使用者級別的呼叫頻率限制

  不管服務是有登陸態還是沒登陸態,基於session等方式都可以為客戶端分配唯一的識別ID,服務端可以將sid存到快取中。當客戶端請求服務時,如果沒有帶SID,則由服務端快速分配一個並返回。可以的話,本次請求可以不返回資料,或者將分配SID獨立出業務服務。當客戶端請求時帶了合法SID,便可以依據SID對客戶端進行頻率限制。而對於SID非法的請求,則直接拒絕服務。相比根據IP進行的頻率限制,根據SID的頻率限制更加精準可控,可最大程度地避免誤殺情況。

  5、IP限制

  最後,IP限制依然可以結合上述規則一起使用,但是可以將其前置至)JCb層的防火牆或負載均衡器上去做,並且可以調大限制的閾值,防止惡意訪問穿透到應用伺服器上,造成應用伺服器壓力。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2899141/,如需轉載,請註明出處,否則將追究法律責任。

相關文章