随着用户对数据传输的安全性要求的增强,通过明文方式传输报文,不提供任何 方式加密的超文本传输协议(HyperText Transfer Protocol,HTTP)服务器,逐渐被提供加密的安全套接字层上的超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,HTTPS)服务器所替代。HTTPS服务器通过安全套接层(Secure Sockets Layer,SSL) /传输层安全(Transport Layer Security,TLS)协议与终端协商加密密钥,并 在与终端进行报文传输时,使用加密密钥对报文中的数据进行加密,避免了数据的泄露。但是由于HTTPS服务器在通过SSL/TLS协议与终端协商加密密钥时,需要消耗自身大量的资源,导致很小的DDoS攻击就能导致HTTPS服务器瘫痪。
现有针对HTTPS服务器的DDoS防护一般是做代理,待防护的HTTPS服务器将自身的证书和私钥交给防护代理设备,防护代理设备与终端进行密钥协商,对终端发送的每个报 文进行解密,识别该报文的内容是否合法,如果合法,将该报文转发至HTTPS服务器,如果不合法,阻断该报文传输至HTTPS服务器,这样防护代理设备就可以通过对报文的内容进行分析,判断该报文是否正常,从而进行DDoS攻击的防护。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
然而这种防护方法,防护代理设备需要对终端发送的每个报文进行解密,识别该 报文的内容是否合法,需要消耗大量的资源,并且终端和HTTPS服务器进行通信的报文的内 容对于防护代理设备都是可见的,影响了终端和HTTPS服务器之间报文传输的私密性。
在高防服务器中如果白名单中记录有所述终端的信息,将所述终端发送的报文转发至HTTPS服务器,如果黑名单中记录有所述终端的信息,丢弃所述终端发送的报文;
否则,若所述报文为第一https请求报文,向所述终端发送https验证报文,使所述终端向自身发送第二https请求报文,其中所述https验证报文中包括验证信息;接收所述终端发送的第二https请求报文,判断所述第二https请求报文中是否包含与所述验证信息 对应的验证结果;如果是,在所述白名单中添加所述终端的信息。
第一判断模块,用于接收终端发送的报文,判断自身保存的黑名单或白名单中是 录有所述终端的信息,如果判断结果为是,触发处理模块,如果判断结果为否,触发验证模块; 处理模块,用于如果白名单中记录有所述终端的信息,将所述终端发送的报文转发至 HTTPS服务器,如果黑名单中记录有所述终端的信息,丢弃所述终端发送的报文; 验证模块,用于若所述报文为第一https请求报文,向所述终端发送https验证报文,使 所述终端向自身发送第二https请求报文,其中所述https验证报文中包括验证信息;接收所述终端发送的第二https请求报文,判断所述第二https请求报文中是否包含与所述验证 信息对应的验证结果;如果是,在所述白名单中添加所述终端的信息。
上一篇: 云服务器机房怎样通过按需联动的方式抵抗DDOS攻击
下一篇: 如何提升高防服务器机房防火墙的性能
