解決（防止）DDOS攻擊的另外一種思想

時間 2019-11-29

原文原文鏈接

本方案適合做最後的處理方案。bash

在服務器遭到DDOS攻擊後，防火牆、高防盾或者其餘的方案都已經失去了效力，這時運維人員無任何方案能夠處理，而且只能任由DDOS攻擊或關閉服務器時，該方案能夠有限的抵擋大部分DDOS攻擊流量，恢復大部分的生產。服務器

該方案並未成熟。運維

這種方案公司用戶越少，效果越好。tcp

環境：目前的技術上對DDOS攻擊沒有太好的解決辦法，理論上的肉機數量能夠無限多，但服務器給的帶寬不可能也不能應對全部的肉雞的攻擊，所以市面上多用高防的盾機來被動的接受來自肉雞的流量，理論上在高性能的盾機都能被肉雞擊倒，所以這種方案算是一種十分被動的解決方案。不少人選擇用封IP的方式來處理DDOS攻擊，這在肉雞數量上的狀況下是一種不錯的解決方案，但肉雞數量一多，與不作任何操做並沒有二樣。性能

原理：目前的服務器防火牆的策略基本上對業務端口的訪問不做限制，在遭受DDOS攻擊時，咱們能夠刻意封閉業務端口的訪問，只容許指定IP的訪問，至於指定IP，能夠在日常用腳本收集，固然日常仍是對業務端口的訪問不做限制。spa

由於用戶數量佔少數，用戶中肉雞的數量也佔極少數，所以會有少部分用戶被誤封的狀況，可是遠好於全部用戶均沒法訪問。ip

舉個栗子：it

我用文件active_ip記錄有效用戶的IP。table

用文件 filter保存正常時候的IPTABLES規則。awk

在正常業務時，用腳本ip_witev2.sh在後臺執行記錄訪問80端口用戶的IP保存在active_ip中。

wite_ip=`awk -F" " '{print $1}' $Active_path`

#!/bin/bash

#sync the IP in access log into Active_path.

Add_white()

{

access_ip=`tail -n 150 $Log_path | awk -F" " '{print $1}' | uniq`