高防服務器防御IP攻擊的方式:1.設置JavaScript方式輸出入口。2.設置301或者302轉向方式輸出入口。3.屏蔽代理。4.判斷ip攻擊速率。5.使用驗證碼。
具體內容如下:
一、第一次訪問的時候,不是直接返回網頁內容,而且返回這段JS程序。作用就是計算出入口變量的值,然后在訪問的網址后面加上類似于jdfwkey=hj67l9的字串,組合成新的網址,然后跳轉,當防火墻驗證了jdfwkey的值(hj67l9)是正確的之后,就放行,一段時間內就不會再出這個判斷程序的頁面。
二、原理和1類似,突破的方式更簡單,和1差不多,只不過是直接在HTTP頭中,連JS引擎都省了。區別在于把入口直接輸出在了HTTP頭部信息里,不重復敘述了。還有一些把入口通過其他方式輸出的,比如cookie,類似于1和2,原理都是在第一次訪問的時候設置一道檻。這個就不單獨計算為一條了。
三、由于一部分的CC攻擊是利用代理服務器發起的,所以有些時候防CC會屏蔽掉帶x-forward-for這個值的IP,對匿名代理無效。無法硬性突破,也就是說,如果屏蔽了帶x-forward-for的IP,那么它就不可能訪問到。
四、由于CC攻擊是持續的發起請求,所以發起攻擊的IP在單位時間內的請求數量會明顯比正常多出很多,通過把請求頻率過高的IP屏蔽掉來防御。突破的方式就是限制請求速度,但是這對于攻擊者是一個挑戰,限制單個攻擊源的請求速度,并且保證攻擊效果,這就要求攻擊者擁有更多倍的攻擊源。
五、這個基本是最后的無敵大招了,必須在用戶輸入驗證碼后才能訪問。目前階段幾乎不可能應用到CC攻擊中,未來也不太可能。但是網絡上有很多的打碼平臺,如果和這些平臺對接的話,人工識別驗證碼,就OVER了(應該不會有人去搞,太麻煩)。
