文档

web服务器常见的CC防护秘籍

 CC攻击对网站的运营是非常不利的,因此我们必须积极防范这种攻击,但有些网站在防范这种攻击时可能会陷入误区。CC是DDoS攻击的一种,CC攻击是借助代理服务器生成指向受害主机的合法请求,实现DDoS和伪装,是通过制造大量的后台数据库查询动作来攻击页面,消耗目标资源。 CC攻击的特点和流量型DDoS攻击最大的区别是并不需要大流量即可达到攻击效果。有些极端情况下在遭受此类攻击的时候,流量特征可能没有明显的变化,而业务层面出现访问缓慢、超时等现象,且大量访问请求可能指向同一个或少数几个页面。因为CC攻击来的IP都是真实的、分散的,且CC攻击的请求,全都是有效的请求,无法拒绝的请求。对于此类攻击,DDoS攻击清洗设备的基础算法的作用可能就没那么明显了,需要在攻击过程中实时抓取攻击的特征,对症下药。由于CC攻击是典型的应用层DDos攻击,因此传统安全设备,如防火墙、运营商清洗等很难起到很好的CC防护作用。目前业界通常会在应用服务器前端部署具备安全功能的代理设备进行防护,比如WAF、负载均衡等,避免让服务器直接面对CC攻击。代理设备启用资源代理和安全防护功能,比如要求在接收完整的HTTP请求之后才会与服务器建立TCP连接并发送已收到的HTTP 请求,此时攻击者的请求直接被代理设备终结而不会发往服务器。 1、服务器垂直扩展和水平扩容资金允许的情况下,这是最简单的一种方法,本质上讲,这个方法并不是针对CC攻击的,而是提升服务本身处理并发的能力,但确实提升了CC防护的能力。 2、取消域名绑定一般cc攻击都是针对网站的域名进行攻击,攻击者在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定,让CC攻击失去目标,达到。 3、部署金盾防火墙防御CC攻击最简单便捷的方法就是通过金盾防火墙对网站端口进行防护,我们可以对CC攻击的攻击特征进行针对性CC防护配置,因为当发生了CC攻击的时候,可以很明显的发现大量的访问都集中在某几个或者多个页面。一般情况客户在访问业务的时候不会集中在几个页面,而是比较分散的。4、网站服务器可以安装金盾软件防火墙,通过在服务器里安装金盾软件防火墙,可以设置防护端口和开启web防护插件,自动识别和屏蔽攻击源。5、如果宿主机,VPS母机或者机柜,可以上联一台金盾盒子防火墙,可以对盒子下的所有主机IP提供防护,并可以针对某个或多个主机进行个性化CC防护策略的定制。

详解搭建和配置Nginx服务器

Nginx(engine X) 是一个高性能的 HTTP 服务器和反向代理服务器,这款软件开发的目的是为了解决 C10k 问题。 Nginx 的架构利用了许多现代操作系统的特性,以实现一个高性能的 HTTP 服务器。例如在 Linux 系统上,Nginx 使用了 epoll,sendfile,File AIO,DIRECTIO…

金盾防火墙APP防护插件无视各类CC攻击

为了更好的防御CC攻击等DDoS连接攻击,针对C/S架构的业务比如游戏等app金盾防火墙开发了App Server Protection插件 通用APP 防护插件,用于各种APP 服务器的防护,并需要客户端APP 加载认证SDK.即封装APP的登陆器。 SDK调用步骤认证过程如下:1. 客户端APP 发送与服务器交互报文之前,发送一段加密的认证报文2. 金盾防火墙 App Server Protection 插件收到认证报文解密验证合法,加密回应新的密钥key23. 客户端收到插件的回应报文,解密出key2,并使用key2 加密新的验证报文发送到设备4. 插件再次收到认证报文,使用key2 解密验证通过加入信任,否则丢弃报文或重置连接 通过我们的封装器,将你的APPAPP客户端或登录器进行封装,供用户登录使用。开启APP插件后。可以实现只有封装过的登录器才能得到信任并连接APP。其他一切连接不可信任并屏蔽。支持TCP端口保护和UDP端口保护,密钥可随时更新,并重新封装生成 新的APP客户端或登录器。 金盾软件防火墙APP防护插件图示…

金盾盒子防火墙

为了满足多种类型客户的需求,金盾DDoS硬件防火墙通过删减和细化部分功能和性能打造了一款小硬件(盒子) 适合宿主机/VPS母机,兼容WINDOWS、LINUX等所有类型服务器。 • 业界最丰富的 CC(应用型)防护算法。 • 独立运行,不消耗服务器性能(兼容所有类型服务器)。 • B/S 架构,带内管理(无需另外接管理)。 • 透明接入,即插即用(串到服务器前面)。 • 低功耗,桌面式硬件(不占用机柜空间)。 流量型击防护 •…

金盾硬件防火墙

应用场景 适合数据中心、IDC机房、ISP 运营商、政企自建网络等。 通过部署在网络边缘检测、阻挡并缓解多向量DDoS攻击 ,网络基础设施对抗流量型攻击的第一道防线。支持多种部署模式,串联、旁路、双机热备、集群。 功能详情请参见《金盾DDoS硬件防火墙功能描述》 为了满足多种类型客户的需求,金盾DDoS硬件防火墙通过删减和细化部分功能和性能打造了一款小硬件(盒子) 适合宿主机/VPS母机,兼容WINDOWS、LINUX等所有类型服务器。主防DDoS连接型攻击CC,最大防护量可达10万QPS 。详情参见金盾DDoS盒子防火墙 产品简介 中新金盾抗拒绝服务系统简称金盾DDoS硬件防火墙是中新金盾核心的抗分布式拒绝服务攻击(DDoS)高性能解决方案。通过部署在网络边缘检测、阻挡并缓解多向量DDoS攻击。是ISP/IDC、数据中心、机房、政府企业事业单位网络基础设施对抗DDoS流量型攻击的第一道防线。 防御类型 支持但不限于对【SYNFlood、UDPFlood、ICMPFlood、IGMPFlood、ACKFlood、DNSQuery Flood、PingSweep】等DDoS流量型攻击;【HTTPProxy Flood、HTTPGet Flood、CCProxy…

金盾软件防火墙

应用场景 适合各种业务类型的服务器及主机。如网站、游戏、APP等。 针对DDoS攻击而设计的一款安装并运行在服务器操作系统之上的网络攻击防护安全软件。尤其对DDoS连接型攻击比如CC攻击的防护更加灵活。为您的网站、游戏、信息平台、互动娱乐等基于 B/S架构和C/S架构的各种 Internet 业务类型的服务器提供完善的保护,使其免受恶意的攻击、破坏。 功能详情请参见《金盾软件防火墙功能描述》 产品简介 金盾软件防火墙是中新金盾DDoS防护系统的简称,集成了简洁高效的管理界面,可以方便管理设置。独创的游戏、网站等多种CC防护插件,可以实现目前已知及变种CC的攻击。 功能特点 底层驱动驱动算法,防御能力强、开机防护;配置简单、直观、交互性强;多IP过滤和防护;应急启动模式;周到的7*24小时售后服务与承诺。 型号 单网卡-月版 单网卡-无限版 双网卡-无限版 使用时间…

金盾虚拟防火墙

金盾DDoS虚拟防火墙支持KVM环境部署,适配原始OpenStack云平台,其它厂家云平台根据项目适配。 1,用户登录 ZX-DMS采用主流的B/S架构,能够使用加密的HTTPS协议与便捷的HTTP协议等多种可选远端管理方式,同时支持单用户多并发的帐户机制。在浏览器输入管理地址 ,即可打开产品的登录界面,如下图所示: 在登录节目输入账号密码进入系统WEB管理平台。目前支持中文和英文两种语言。

直播平台怎么防御DDOS攻击?

移动互联时代,直播行业硝烟四起,各大流媒体直播平台立足自身平台直播优势,纷纷携手电商,跨界营销玩得不亦乐乎。 相较于传统电商营销,网络视频直播的传播范围更广、推广效果更好,所需的时间更短、成本更低,而收益却达到了最高。  “人人都能当主播”的低门槛形式,让直播行业更加平民化。到如今,网络直播类型更可谓是五花八门,涉及的领域也特别之多,例如,游戏直播、美食直播、教育直播、讲座直播、购物直播、炒股直播等等一系列,令人眼花缭乱的直播。 就拿购物直播来说,各大电商平台上,但凡是规模较大的店铺,都会安排定期直播。因为静态图片无法生动展示商品的真实外观和品质,以及色差与否,而动态的视频直播却能够生动完整的展示产品,可以让用户们拥有一种“眼见为实”的购物体验。店铺的上新、促销等活动消息,也都能通过直播发布,关注的用户都能第一时间Get。 一场直播想要获得更多用户的关注,除了依靠吸粉的主播以外,更要有稳定通畅的用户体验。直播时,访问量越大,获利也就越多,相对而言,带宽的消耗也就更大,网络变得很不稳定。于是,通过DDoS攻击,让对方的直播卡顿、用户掉线,就成为了一个打压竞争对手的“好”方法。  所谓“树大招风”,被越多的人熟知,就越容易成为被攻击的目标。绝大多数DDOS攻击的发起都是利益导向,根本原因还是缘于行业之间的利益竞争。 随着网络技术的发展,DDOS攻击这个被称为“黑客入门”的网络攻击形式,早已形成了不太“地下”的黑色产业链。很早就有新闻报道过:花1块钱就能在1个小时内打1G流量;某直播平台只花了6000块,10天内就攻下了竞争对手…… DDOS(Distributed Denial of Service)攻击,即分布式拒绝服务攻击。   DDOS攻击利用了大量的虚假数据包访问目标,这些数据包都经过了伪装,无法查找来源。攻击一旦开始,海量虚假数据包一拥而上,系统直接崩溃。   DDOS攻击,其实是从前任DOS攻击的基础上衍生出来的另一种攻击。俗话说得好,“长江后浪推前浪,一浪更比一浪强”。 遭受了DDOS攻击怎么办?怎样才能更好的防护DDOS攻击?中新金盾抗拒绝服务系统(DMS)是您不错的选择! 最新型的中新金盾抗拒绝服务系统端设备,可以和中新网安金盾云清洗中心实时联动,是企业网络基础设施对抗流量型攻击的第一道防线。 中新网安通过十七年的发展,以及在抗拒绝服务攻击方面的研究、生产、部署和攻防实战经验中,形成了具有自主知识产权、性能优越、品质优秀的中新金盾抗拒绝服务系统。为解决来自不同方向的DDoS攻击问题,研发出高端精密硬件、主机端防护软件和虚拟化版本等不同形态,将东西南北向全方位防护闭环。联动流量分析系统实现动态清洗,结合管理平台让分布各地设备统一调度,可适配各类网络环境,为您的信息系统提供完善的安全保护。一流的核心模块 + 高效的防护算法,使得本系列产品成为抗拒绝服务的防护金盾。

金盾硬件防火墙功能描述

中新金盾抗拒绝服务系统(简称金盾硬件防火墙)分为选配和整体化硬件模式设备,下面介绍设备的硬件配置和接口信息。(想了解具体防护策略请参见金盾DDoS防火墙常见DDoS防护设置) 产品外观 本节将以ZX-DMS 5210为例详细介绍设备硬件的前面板和背面板。需要注意的是:实际产品会因批次或型号不同而接口的型号或数量略有不同。 前面板概览 背面板概览 产品的随机配件与产品型号相关,请以实际装箱物品清单为准。 除随机配件盒内物品外,还需要进行以下准备工作: IP地址——DMS设备支持双协议栈,建议在网络中为DMS设备预留一个IPV4地址和一个IPV6地址; 临时计算机——配置DMS设备需要一台临时管理用的计算机,配置时需要通过网线连接后使用HTTP(或HTTPS)的方式登录DMS设备的WEB界面进行管理; 终端软件——能够连接串口的终端软件(比如Windows自带的超级终端软件); 浏览器——请确认计算机系统已安装IE浏览器(建议使用IE6.0以上版本)。 安装流程 步骤一: 佩戴防静电腕带或防静电手套。如果佩戴防静电腕带,需确保防静电腕带一端已经接地,另一端与佩戴者的皮肤良好接触。 步骤二:…

常见DDoS(含CC)防护设置

以下防护设置适用金盾硬件防火墙,金盾盒子防火墙。 根据中新金盾DDoS 攻击防御经验,目前 DDoS 攻击主要分为流量型攻击和连接型 (Connection-Flood,简称“CC”)攻击。 对于流量型攻击金盾防火墙会采用深层次、细粒度检测算法,依据默认参数主动进行防御,不需要人为的设置复杂策略。其中需要注意 UDP_Flood 攻击要根据主机服务内容设定具体策略:一般在无 UDP 协 议服务的主机遇到此攻击时需让其触发“全局参数”里 UDP 保护或者封掉被攻击端口;有 UDP 协议服务的主机要保证不让其触发“全局参数”里的…