2023-07-14 分類: 網(wǎng)站建設(shè)
智防系統(tǒng)的抗D原理是怎樣的?
智防系統(tǒng)建立了龐大而強大的防護清洗池。用戶無需做任何部署,僅需將自己網(wǎng)站的DNS修改為智防系統(tǒng)提供的防護服務(wù)器DNS,原始流量經(jīng)過防護服務(wù)器的過濾,即可將惡意攻擊流量清洗掉,從而保障網(wǎng)站正常業(yè)務(wù)的運行。
為什么接入智防系統(tǒng)后,我網(wǎng)站的ip被ping時變了?
您的網(wǎng)站真實ip并不會被改變,而是在接入了智防系統(tǒng)后,您網(wǎng)站的域名被隱藏到了智防系統(tǒng)防護服務(wù)器后面,這樣攻擊者將無法嗅探到您的真實ip。惡意攻擊流量也都會被智防系統(tǒng)防護服務(wù)器過濾之后,再轉(zhuǎn)發(fā)給您的網(wǎng)站服務(wù)器,從而保障您的站點安全。
智防系統(tǒng)免費抗D系統(tǒng)的防御峰值有多大?
智防系統(tǒng)為免費用戶提供5G峰值的防護。我們在研究中發(fā)現(xiàn),針對中小型站點的DDoS攻擊里,90%的攻擊峰值在5G以下。也就是說,如果您的站點沒有特殊需求,5G峰值足夠防御絕大多數(shù)的惡意DDoS攻擊。
智防系統(tǒng)的抗D原理是怎樣的?
智防系統(tǒng)建立了龐大而強大的防護清洗池。用戶無需做任何部署,僅需將自己網(wǎng)站的DNS修改為智防系統(tǒng)提供的防護服務(wù)器DNS,原始流量經(jīng)過防護服務(wù)器的過濾,即可將惡意攻擊流量清洗掉,從而保障網(wǎng)站正常業(yè)務(wù)的運行。
智防系統(tǒng)可以保護哪些網(wǎng)站的安全?
智防系統(tǒng)能保護任何業(yè)務(wù)類型的網(wǎng)站,如在線金融、網(wǎng)絡(luò)游戲、在線教育、網(wǎng)絡(luò)購物。但前提條件是您的網(wǎng)站已取得合法備案,且無任何有違國家相關(guān)法規(guī)的內(nèi)容,如色情、暴力、反動、盜版等。否則智防系統(tǒng)將不對該網(wǎng)站提供任何安全服務(wù)。
關(guān)閉源站服務(wù)端的對轉(zhuǎn)發(fā)節(jié)點的訪問限制
由于防護系統(tǒng)是轉(zhuǎn)發(fā)架構(gòu),真實用戶的源IP經(jīng)過防護節(jié)點時會轉(zhuǎn)換成防護節(jié)點的轉(zhuǎn)發(fā)服務(wù)器的IP地 址,所以從原始客戶端過來的請求經(jīng)過轉(zhuǎn)發(fā)后,會從較少量的IP集中轉(zhuǎn)發(fā)到源站,如果源站服務(wù)端有使用一些防護服務(wù)或者防護軟件,很有可能會判斷為異常訪問進行攔截,這時需要關(guān)閉防護服務(wù)或者把防護節(jié)點的IP段加入白名單方向(防護節(jié)點的IP段可以咨詢工作人員)。
被攻擊時接入防護更換源站IP
在正在被攻擊時接入防護系統(tǒng),由于源站服務(wù)器的IP已經(jīng)暴露,即使馬上接入防護,攻擊者可能還是繼續(xù)攻擊源站IP,這樣就繞開了防護,導(dǎo)致防護無效,這時需要更換源站IP,注意更換的新IP后不要直接在站點DNS上修改,而是應(yīng)該先進行防護接入,然后在防護系統(tǒng)中設(shè)置新的回源IP,確保新的IP不會再次暴露出去。更換的新IP最好和原IP不同網(wǎng)段,以避免再次被攻擊者掃描探測,如果不能不同網(wǎng)段,可以采取一些避免探測的措施盡量繞開探測,具體的措施可以咨詢工作人員。
接入防護時同IP的域名要接入完整
經(jīng)常會有多個域名指向同一個服務(wù)器IP,如果要防護的服務(wù)器是這種情況,在接入防護時,要把相關(guān)的域名都接入防護,避免攻擊者進行子域名掃描,探測出源站IP,從而繞開防護直接攻擊源IP。
如何獲取http、https協(xié)議轉(zhuǎn)發(fā)后的用戶真實IP
接入云盾防御后,用戶訪問的數(shù)據(jù)會先通過云盾節(jié)點,云盾節(jié)點會清洗掉攻擊流量,通過轉(zhuǎn)發(fā)設(shè)備把正常的訪問轉(zhuǎn)發(fā)回源站。因用戶訪問數(shù)據(jù)先通過云盾節(jié)點轉(zhuǎn)發(fā),源站獲取到的來源IP將是云盾節(jié)點的IP,而不是真正用戶IP。如需要獲取用戶真實IP信息的產(chǎn)品,請配合在源站服務(wù)器上進行以下修改:
1. http協(xié)議
在源站的http服務(wù)引擎日志配置增加獲取X-Real-IP或者X-Forwarded-For字段,打印出來即含有真實IP
2. https協(xié)議
因https加密,云盾無法填寫X-Real-IP和X-Forwarded-For,所以需要其他方式獲取,
總共有三種方式
2.1提供證書和密鑰
云盾解密后安裝http方式添加X-Real-IP和X-Forwarded-For
2.2使用proxy protocol協(xié)議
如果源服務(wù)器引擎支持proxy protocol協(xié)議,則可以獲取真實IP,例如支持nginx和tengine等引擎
2.2.1源服務(wù)器引擎
在源服務(wù)器引擎配置上,可增加多個服務(wù),監(jiān)聽不同端口
此種配置下,真實IP的變量為$proxy_protocol_addr,而不是X-Real-IP和X-Forwarded-For
配置代碼:
http{
#原有配置不變
server
{
listen 443 ssl;
#配置證書等
}
#新增8443監(jiān)聽,啟用proxy_protocol功能
后端為php配置示例
server
{
listen 8443 proxy_protocol;
ssl on;
ssl_certificate /xxx.crt;
ssl_certificate_key /xxx.key;
server_name xxx;
location /
{
root /xxxx;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
#php接口會先獲取http_client_ip做用戶IP
fastcgi_param HTTP_CLIENT_IP $proxy_protocol_addr;
}
}
2.2.2源服務(wù)器防火墻需開放
2.2.3登錄云盾官網(wǎng),修改防御配置
在配置完proxy protocol協(xié)議和防火墻開放8443端口后,需要進入到云盾安全個人用戶中心,增加或修改https協(xié)議,將https協(xié)議修改為https(proxy)協(xié)議,填寫8443端口保存即可
2.3安裝云盾定制內(nèi)核掛載模塊
使用云盾定制內(nèi)核模塊即可獲取真實用戶IP,其他應(yīng)用層軟件均無需做任何變動
2.3.1 linux系統(tǒng)
需要回源服務(wù)器放提供的信息/材料
1、服務(wù)器版本信息,cat /etc/redhat-release如centos幾,ubuntu幾?
2、uname –r顯示的內(nèi)核版本,如2.6.32-573.el6.x86_64
3、服務(wù)器的/boot/config-xx文件,如config-2.6.32-573.el6.x86_64;(用于編譯內(nèi)核)
4、/boot/symvers-xxx文件,如symvers-2.6.32-573.el6.x86_64.gz;(用于驗證依賴的符號信息)
2.3.2 windows系統(tǒng)
若用戶的源站服務(wù)器使用windows系統(tǒng),則需要安裝驅(qū)動模塊
1、解壓驅(qū)動安裝包
2、運行安裝包里的zzassistant.exe即可
3.純TCP協(xié)議防御
同2.3,使用云盾定制內(nèi)核模塊
502問題為云防節(jié)點到源站之間的問題,其頁面的返回有兩種,分云防返回的頁面和源站返回的頁面,云防帶zs: 開頭的具體原因,如下圖:
如果不是此格式的頁面,則為源站返回頁面,源站自行檢查即可
云防返回頁面的具體原因一般分如下兩種:
1、zs:network failed
產(chǎn)生此錯誤的原因為云防到源站發(fā)生網(wǎng)絡(luò)鏈接失敗
1). 網(wǎng)絡(luò)波動引起失敗,刷新頁面即可
2). 源站機房網(wǎng)絡(luò)問題,請測試源IP端口的是否可正常打開
3). 源站機房防御設(shè)備攔截了云防請求,造成鏈接失敗,請檢查是否加白了云防IP段
4). 如排除上述原因,請聯(lián)系云防技術(shù)檢查
2、zs:server reset or timeout
TCP鏈接成功,但請求失敗
產(chǎn)生此錯誤的原因為云防發(fā)送到源站的請求被拒絕或超時未響應(yīng)
1). 請檢查源服務(wù)有無裝安全狗之類的安全軟件,安裝的話,麻煩加白云防IP段
2). 源服在阿里云上的,需關(guān)閉阿里云上的CC防御
登陸【云盾】控制臺-->【ddos防護】-->【基礎(chǔ)防護】-->【掃描攔截】,把 0.0.0.0 加入白名單關(guān)閉默認的cc防護
如果還是不清楚可以按這個文檔找到添加白名單的入口,https://help.aliyun.com/knowledge_detail/37914.html,然后把 0.0.0.0 加入白名單關(guān)閉默認的cc防護
3). 如果頁面是刷新很久才出現(xiàn)502,則麻煩檢查源服運行是否正常,無法及時處理請求并返回
4). 如排除上述原因,請聯(lián)系云防技術(shù)檢查
當(dāng)出現(xiàn)上傳大文件失敗時,請聯(lián)系技術(shù)人員進行修改。
當(dāng)前文章:智防系統(tǒng)常見問題解答
網(wǎng)站網(wǎng)址:http://jinyejixie.com/news0/272350.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供用戶體驗、自適應(yīng)網(wǎng)站、軟件開發(fā)、App開發(fā)、虛擬主機、微信小程序
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容