想請問 下列的伺服器防護搭建 是否能做到 基本的防禦功能,以及如果受到10~100GB DDOS 或 CC 等攻擊 是否還能維持站點運作。
另外 防火牆規則 需要封鎖哪些端口,或如何完善。 聲明一下 小弟還是非常菜的新手,剛剛接觸玩架網站站 以及 遊戲伺服器,學習中,所以有搞笑 不專業的地方還請包涵~_~
因為之前有被攻擊過,所以摸索了一下,搞了個下面的建置,對我來說算是比較低成本(因為口袋不夠深)
客戶端--> CloudFlare域名解析(禁止除台灣 香港 以外所有國家訪問) --> 三台VPS -端口轉發--> 伺服器主機
伺服器主機 DNS反代--> CloudFlare域名 --> 三台VPS 端口轉發回伺服器主機 --> 客戶端
在CF域名 VPS 都設了防火牆規則,域名是單純限制國家訪問 與 惡意機器人 HTTP版本 Mozilla/ 訪問規則 ,VPS 放行會用到的 443端口 把21 22 8080 80 1433 3306 等等都封禁了
問題A:
這樣的配置,開啟應用端連接後 捕獲的的IP是 三台VPS的其中一台,總之表面上是隱藏了伺服器的IP,
不過這樣的配置 實際有效嗎?? 還是只是我的想像,會不會還有其他漏洞或者方法能獲取我的伺服器IP?
問題B:
如果遇到單純攻擊我VPS的DDOS,理論上還是會造成服務中斷對吧?? 隱藏伺服器IP僅僅是保護我的站點不會掛掉,
但是被攻擊仍然會影響正常訪問或連接,所以其實被攻擊還是只能默默地等攻擊停止 站點恢復服務,不然就是快速更換VPS的IP解析 ??
這樣理解不知道是否正確
(我租用的VPS 有流量清洗的功能,不過會繞去歐洲 或 北美清洗再送回來)
問題C:
再低成本的情況下,還有什麼地方應該注意以及學習,上述的建置是否還有可改善之處或精進的地方,我的目標不是防禦大型攻擊,
而是惡作劇型,譬如有人會去買DDOS攻擊服務來亂打人,之前被攻擊過通常流量都在20~200GB之間,當時沒有使用任何高防IP 或 CDN 服務,
好像有買過一次高防主機,但是被攻擊秒入黑洞,導致服務中斷,所以就沒繼續使用,而且攻擊者還主動EMAIL我要錢XD 不過當然是沒鳥他
另外網站有註冊帳號 跟 登錄帳號 的功能,有做了簡單的防SQL注入檢測 應該有效? 應該吧 0.0
在輸入欄位 輸入下列的一些語法調用 網站會跳出 提示並禁止。
$badwords = array(";","'",""","","union","x:","x:#","delete ","///","from|xp|execute|exec|sp_executesql|sp|select| insert|delete|where|drop table|show tables|#||","DELETE","insert",","|"x'; U\PDATE Character S\ET level=99;--","x';U\PDATE Account S\ET ugradeid=255;--","x';U\PDATE Account D\ROP ugradeid=255;--","x';U\PDATE Account D\ROP ",",W\HERE 1=1;--","z'; U\PDATE Account S\ET ugradeid=char","update","drop","sele","memb","set" ,"$","res3t","wareh","%","--");
最後感謝各位大大不厭其煩的看完問題。
CloudFlare不就有DDoS防護方案,你VPS又買
對方要抓到你最後面那台伺服器的對外IP直接攻擊才不會前面洗掉
至於VPS開幾台分流看整段防護規格
CloudFlare入口被DDoS爆了,你VPS開再多也沒用,入口死了大家都進不去
這樣是不是用多個域名來做A紀錄,一個爆了,馬上切另外一個0.0,現在的想法就是 第一是隱藏源站IP優先,其次就是想辦法在被攻擊時可以維持服務不中斷 並 增加攻擊方的成本與困擾,如果攻擊我不是為了利益而是為了練手 或 惡作劇,那成本提升應該會打消念頭,應該~~
我的VPS也沒買,他是OVH本身就有的免費服務,被攻擊的話會把流量轉送到 北美 法國 等地做清洗再送回來,不過缺點是延遲滿高的,我自己PING基本上都在130~160ms之間,不過我用基本的域名查詢我CF域名會查到A紀錄的VPS-IP位置,所以擔心攻擊手會直接瞄準VPS打,目前就用OVH的VPS來做防護轉發給主伺服器,我自己想法大概是這樣
Cloudflare上直接就有DDoS和WAF的方案了
即使是免費板本也有L7的DDoS防護
首先,您得要了解何謂DDOS,何謂CC。
就正常來說,這兩種其實都是所謂的正常訪問。只是量很大。
但CC攻擊來說,是還有辦法利用一些規則及防火牆來處理的。
因為它是屬於實際請求的方式。
但DDOS就比較不能了。
因為DDOS並不是單純的利用請求的方式。
講比較白話點。就是CC攻擊它還會來你家按門鈴。
所以你還可以去判斷誰。
但DDOS則連門鈴都不按。只是經過你家。
然後可能用了影分身之術,或是快閃活。生出了幾干幾萬人一直經過你家。
這會導致你家路口因為很多人而讓正常人無法來到你家門口。
所以DDOS,一般不是靠「阻擋」。而是靠「導流」居多。
而所謂的導流,其實就是將你家門口的路擴大。或是增加很多路線。
這一般來說成本很高。並不太可能可以做到。
而 Cloudflare 現在其實很佛心了。
免費版的就能幫你做這些事情了。雖然量不大。但一般其本的DDOS還是有辦法處理的。