我来说说抗攻击

360安全卫士

这应该算是个月经帖了。
对于66ip兄弟的分享，表示感谢。同时我也指出一下，抗攻击并非想像中那么艰难。

首先哩，对于以前称霸互联网的DDOS靠流量包取胜的攻击，雄风早已退去，因为这种攻击太野蛮，成本并不低。你想要目标主机带宽消耗多少，你自己就得发出大于对等带宽的数据，通常持续的DDOS的傀儡机都是肉鸡，且需要administrators、root权限，这等于加大了攻击发起的难度，并且在傀儡机管理员、机房发现了违规行为，通常会在收到举报后主动封禁。  

360某位高层在某互联网站长大会上表示，互联网站长受到最大的安全威胁将是CC攻击，CC攻击最大的特点就是隐蔽，相比于DDOS发包攻击，更难以从请求列中区分出来。通常的防护手段是使用JS代码弹回，若是浏览器就会执行这段JS，若非浏览器就将会被拦在外面。但这种方式受到“穿墙术”的威胁（见http://www.sunk.eu.org/thread-150223-1-1.html#pid2245149），所以日渐被别的防护方式所取代，目前互联网防护此类攻击主要使用的（包括大型门户网站）是多层、多级缓存，将不必要重复计算的请求缓存住，以节省CPU计算等资源。

CC攻击相比DDOS，有更多的一些特点：
1.流量不一定大，如果程序够烂，1Mbps的CC流量的效果不大满速的DDOS流量差。
2.主要为HTTP、HTTPS等流量。
3.被利用的通常为资源“瓶颈”。CPU、内存、磁盘IO，甚至带宽小时，带宽也可能成为瓶颈。木桶原理告诉我们，木桶容量由最短的木头所决定。所以，不管计算所需要的哪个环节出现瓶颈，立即拒绝服务。


抗CC攻击  几大规则：
1.before the bad visitors go to your neck, kill them
2.it's not necessary to waste the resource  for bad visitors
3.say nothing to the bad visitors
4.kill the port which not need public access
5.be careful to the cdn
6.build a NGINX server
7.software firewall is not fine
8.find the bad visitors' common feature to ban them if necessary
9.iptables is your best comrade at the war
10.do not harm your fine visitors.

一灰

蓝翔牛B

过客

你让我想起了山东蓝翔。

瘦够了

坐等

360安全卫士

wwww961h 发表于 2012-10-5 23:29
我对于你那几条英文有点不懂kill all port which not need public access
就算不需要公共访问，也不能禁用 ...

不好意思，写错了。应该是kill the port which not need public access

wwww961h

我对于你那几条英文有点不懂kill all port which not need public access
就算不需要公共访问，也不能禁用所有端口吧

我是马甲撒

球带

iyuheng

技术帖

管理猿

流弊！！