1.一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站肯定也不能正常访问了。
2.而应用层就是我们用户看得到的东西,就比如说网页,CC攻击就是针对网页来攻击的,CC攻击本身是正常请求,网站动态页面的正常请求也会和数据库进行交互的,制造大量的后台数据库查询动作,当这种”正常请求”达到一种程度的时候,服务器就会响应不过来,从而崩溃。
参考:https://baijiahao.baidu.com/s?id=1591163815905003603&wfr=spider&for=pc
3.
防御CC攻击可以通过多种方法,比如,可以分析攻击的请求头信息,分析它的特点,然后针对这些请求做一些限制。也可以分析请求的ip,利用iptables来限制ip。将网站做成静态页面,也可以有效降低服务器资源使用。另外,还可以限制连接数量,修改最大超时时间等。
简单的ddos,比如cc,我们可以通过限定ip来解决攻击。但有时候攻击量很大,甚至可以把机房的网络攻击瘫痪,这时候只能临时在上层网络把目标IP封掉,这样牺牲单个ip而保全大局。也可以接入第三方的防ddos攻击的cdn。
. 提高性能和并发数,需要优化哪些内核参数答案:net.ipv4.tcp_max_tw_buckets = //timewait的数量,默认是180000。net.ipv4.ip_local_port_range = //允许系统打开的端口范围。net.ipv4.tcp_tw_reuse = //允许将TIME-WAIT sockets 重新用于新的TCP 连接。net.ipv4.tcp_syncookies = //开启SYN Cookies,当出现SYN 等待队列溢出时,启用cookies 来处理。net.ipv4.tcp_max_orphans = //系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤儿连接将即刻被复位并打印出警告信息。这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)。net.ipv4.tcp_max_syn_backlog = //记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128。net.ipv4.tcp_synack_retries = //为了打开对端的连接,内核需要发送一个SYN 并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK 包的数量。net.ipv4.tcp_syn_retries = //在内核放弃建立连接之前发送SYN 包的数量。net.ipv4.tcp_keepalive_time = //当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时。
---------------------
作者:shangyuanlang
来源:CSDN
原文:https://blog.csdn.net/shangyuanlang/article/details/80682788
版权声明:本文为博主原创文章,转载请附上博文链接!
