1.一個是WEB網絡層拒絕服務攻擊(DDoS),一個是WEB應用層拒絕服務攻擊(CC),網絡層就是利用肉雞的流量去攻擊目標網站的服務器,針對比較本源的東西去攻擊,服務器癱瘓了,那么運行在服務器上的網站肯定也不能正常訪問了。
2.而應用層就是我們用戶看得到的東西,就比如說網頁,CC攻擊就是針對網頁來攻擊的,CC攻擊本身是正常請求,網站動態頁面的正常請求也會和數據庫進行交互的,制造大量的后台數據庫查詢動作,當這種"正常請求"達到一種程度的時候,服務器就會響應不過來,從而崩潰。
參考:https://baijiahao.baidu.com/s?id=1591163815905003603&wfr=spider&for=pc
3.
防御CC攻擊可以通過多種方法,比如,可以分析攻擊的請求頭信息,分析它的特點,然后針對這些請求做一些限制。也可以分析請求的ip,利用iptables來限制ip。將網站做成靜態頁面,也可以有效降低服務器資源使用。另外,還可以限制連接數量,修改最大超時時間等。
簡單的ddos,比如cc,我們可以通過限定ip來解決攻擊。但有時候攻擊量很大,甚至可以把機房的網絡攻擊癱瘓,這時候只能臨時在上層網絡把目標IP封掉,這樣犧牲單個ip而保全大局。也可以接入第三方的防ddos攻擊的cdn。
95. 提高性能和並發數,需要優化哪些內核參數 答案: net.ipv4.tcp_max_tw_buckets = 6000 //timewait的數量,默認是180000。 net.ipv4.ip_local_port_range = 1024 65000 //允許系統打開的端口范圍。 net.ipv4.tcp_tw_reuse = 1 //允許將TIME-WAIT sockets 重新用於新的TCP 連接。 net.ipv4.tcp_syncookies = 1 //開啟SYN Cookies,當出現SYN 等待隊列溢出時,啟用cookies 來處理。 net.ipv4.tcp_max_orphans = 262144 //系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字,孤兒連接將即刻被復位並打印出警告信息。這個限制僅僅是為了防止簡單的DoS攻擊,不能過分依靠它或者人為地減小這個值,更應該增加這個值(如果增加了內存之后)。 net.ipv4.tcp_max_syn_backlog = 262144 //記錄的那些尚未收到客戶端確認信息的連接請求的最大值。對於有128M內存的系統而言,缺省值是1024,小內存的系統則是128。 net.ipv4.tcp_synack_retries = 1 //為了打開對端的連接,內核需要發送一個SYN 並附帶一個回應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK 包的數量。 net.ipv4.tcp_syn_retries = 1 //在內核放棄建立連接之前發送SYN 包的數量。 net.ipv4.tcp_keepalive_time = 30 //當keepalive 起用的時候,TCP 發送keepalive 消息的頻度。缺省是2 小時。 --------------------- 作者:shangyuanlang 來源:CSDN 原文:https://blog.csdn.net/shangyuanlang/article/details/80682788 版權聲明:本文為博主原創文章,轉載請附上博文鏈接!