DDOS攻击是一种通过攻击服务器IP的流量攻击,所以一般防御DDOS都是通过更换云服务器新IP,然后用高防CDN或者高防IP隐藏起码来,并替身防御。
但有一些服务商是不支持更换IP的,比如西部数码、阿里云就是不支持更换IP,即使支持更换IP也很麻烦。那么今天我们来说下在不更换IP的情况下,我们如何进行防护DDOS攻击。
我们需要涉及到云服务器的安全组功能,这里我们以西部数码为例:
首先添加安全组:
添加规则,拒绝所有IP访问服务器,如下图:
有些DDOS可能是会通过UPD等协议进行攻击,所以安全起见添加拒绝UPD请求,如下图:
添加一条放行高防CDN IP段或高防IP的规则,下面以百度云加速IP段为例,具体如下图:
如果你是用类似的百度云加速的高防CDN的,请把CDN节点IP段全部加入放行规则
设置完节点允许访问规则后,我们要设置一个自己的IP允许访问的规则,百度搜IP即可查到自己的IP
添加放行,如下图:
这条规则一定要做,否则会影响你访问自己的云服务器。
设置完规则后我们再部署到自己的服务器上即可。
完成这一系列操作后,对方黑客即使知道你的源服务器IP,也是没办法攻击的,因为你的服务器根本不对外访问,只对高防IP或者高防CDN访问,到这里我们只需要设置好业务高防转发即可,比如网站业务接入百度云加速防御,百度云加速有1T的压制力,对方倾家荡产也不可能把百度攻击挂的,所以放心使用。
需要注意的事,一但设置安全组是会把搜索引擎蜘蛛IP也拒绝访问的,所以我们在使用高防IP或者高防CDN的时候,千万别开启搜索引擎蜘蛛访问回源,要让蜘蛛通过高防CDN抓取网站业务,而不是通过源服务器,百度云加速默认是关闭回源的,只能通过IP节点抓取,所以使用百度云加速的放心,不会影响收录。
好了以上就是在不更换IP的情况下DDOS攻击问题的解决办法,简单的思路就是通过安全组拒绝所有访问,只允许高防IP或者高防CDN访问,然后通过高防IP或者高防CDN转发业务内容,达到防御效果,以上只是西部数码的安全组部署案例,阿里云安全组跟西部的有些差别,但具体思路不变的,大家按照这样思路操作即可。