分享一个可以减缓ddos（cc、资源消耗、放大攻击）的方法

mjjlover

本帖最后由 mjjlover 于 2019-7-24 19:57 编辑

刚刚在另外一个帖里看到有人问怎么防御ddos估计，分享一个免费的方法

我也是小白，这几天在研究，如果有不正确的地方请指教


nginx的配置中，可以限制每个IP的链接数和带宽，把这两个都配上合理的值，在不影响用户体验的情况下可以减缓ddos攻击的危害。
我的想法是只开放nginx监听的端口，所有的请求都从这里转发，应该有点作用吧

https://zh.m.wikipedia.org/zh-tw/阻斷服務攻擊
ddos有很多类型的，对于那种有钱的，直接打没有开放的端口都能把你带宽打满的没用，但其他类型的应该有用
比如我服务器只监听tcp的443端口，我nginx的tcp上下文和http上下文都配置了带宽和链接数限制，应该对那种资源消耗型或者用sync洪水让我链接数耗尽那种有用吧
小白请大佬们指正

By小酷

原来是注册会员
怪不得那么弱智

爱安利的芋头

最好的减缓ddos的方法就是
发帖 大佬我错了

migao2009

打IP 会走NGINX ？ 楼主让我上了一课 佩服

周润发

周润发 发表于 2019-7-24 19:23

打IP 会走NGINX ？ 楼主让我上了一课 佩服
只用nginx监听特定端口，其他端口都不开放，所有的请求都通过这个端口转发，应该有点作用吧

hellfires

mjjlover 发表于 2019-7-24 19:28

只用nginx监听特定端口，其他端口都不开放，所有的请求都通过这个端口转发，应该有点作用吧 ...
你真的知道什么是ddos吗？ddos你关着端口照样能打

mjjlover

公众号 发表于 2019-7-24 19:32

你真的知道什么是ddos吗？ddos你关着端口照样能打
这个明白，但是你关着端口不处理来包，相对处理那些伪装的请求包，危害要小一些吧

公众号

Googlebot: 走，下一家
mjjlover 发表于 2019-7-24 19:38

这个明白，但是你关着端口不处理来包，相对处理那些伪装的请求包，危害要小一些吧 ...
ddos是直接把你带宽占满，你端口开或关没有任何影响

mjjlover

公众号 发表于 2019-7-24 19:40

ddos是直接把你带宽占满，你端口开或关没有任何影响
直接可以把带宽打满的没用，其他类型的攻击可以减缓一些吧

krazy176公众号

你这顶多可以防CC