今天上午同事接到號(hào)碼為:2631805456 的QQ聊天信息,大概意思是準(zhǔn)備利用DDOS攻擊我們“百恒南昌做網(wǎng)站”的主頁,讓我們小心提防。這么好心提醒、讓你做好準(zhǔn)備迎接攻擊?難道是傳說中的中國“紅客”,俠盜之流?我就開始納悶了,我們百恒在網(wǎng)絡(luò)上一直都很低調(diào),也不曾得罪過哪路神仙,憑什么攻擊我們呢?目的何在?然而,細(xì)看他與同事的聊天記錄,不難發(fā)現(xiàn)他原來是真有目的的。是否真正蓄意攻擊目前還不得而知,但是恐嚇與嫁禍他人的真實(shí)意途已經(jīng)很明顯,只是這種小屁孩的手段讓他的慌言不攻自破。下面把同事與他的聊天記錄貼上:
不可否認(rèn),中國的網(wǎng)絡(luò)高手?jǐn)?shù)不勝數(shù),如果真的有意攻擊某個(gè)站點(diǎn)服務(wù)器,也并非難事。當(dāng)然高手一般都深藏不露,黑你的站于無形當(dāng)中,很少留下任何蛛絲馬跡。高手一般是不會(huì)輕易出招的。也很少因你的網(wǎng)站在百度排名較好而眼紅去攻擊你的站。像這樣先拍你一下然后跟你說:我要打你了,你做好準(zhǔn)備的把戲,只有在劇情中才會(huì)出現(xiàn)吧。誰不怕做壞事后被抓接受法律的制裁呢?
既然提到DDOS攻擊,那百恒工程師就為大家整理一下傳說中的DDOS攻擊:(部分資料摘抄于百度百科,由SYN和青島迅博信息技術(shù)提供)
DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)攻擊),很多DOS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDOS攻擊。
說到DDOS攻擊,還得先從DOS攻擊開始,因?yàn)樗怯蓚鹘y(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的另一類更加強(qiáng)大攻擊方式。最早單一的DoS攻擊一般是采用一對(duì)一的方式,它的攻擊方法說白了就是單挑,是比誰的機(jī)器性能好、速度快。當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高,它的攻擊效果也是很明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的處理能力迅速增長,內(nèi)存大大增加,同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò),這使得DoS攻擊的困難程度加大了 - 被攻擊目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了很多,例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包,但被攻擊的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包,這樣我們的一對(duì)一單挑式攻擊就沒有什么作用了,搞不好自己的機(jī)子就會(huì)死掉。這時(shí)候分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運(yùn)而生了。它的原理就很簡單,如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍,用一臺(tái)攻擊機(jī)來攻擊不再能起作用的話,攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢?用100臺(tái)呢?DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻,以比從前更大的規(guī)模來進(jìn)攻受害者。
DDOS攻擊原理
通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷。阻斷某一用戶訪問服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務(wù),DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務(wù),而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務(wù)的意思。不過這3中攻擊方法最厲害的還是DDoS,那個(gè)DRDoS攻擊雖然是新近出的一種攻擊方法,但它只是DDoS攻擊的變形,它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進(jìn)行攻擊的,所以對(duì)它們的防御辦法都是差不多的。
一個(gè)比較完善的DDoS攻擊體系分成4大部分,先來看一下最重要的第2和第3部分:它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別,對(duì)第4部分的受害者來說,DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的,第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī),黑客有控制權(quán)或者是部分的控制權(quán),并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上,這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令,通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí),這些傀儡機(jī)器并沒有什么異常,只是一旦黑客連接到它們進(jìn)行控制,并發(fā)出指令的時(shí)候,攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。
有的朋友也許會(huì)問道:"為什么黑客不直接去控制攻擊傀儡機(jī),而要從控制傀儡機(jī)上轉(zhuǎn)一下呢?"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不愿意被捉到,而攻擊者使用的傀儡機(jī)越多,他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺(tái)機(jī)器后,高水平的攻擊者會(huì)首先做兩件事:1. 考慮如何留好后門!2. 如何清理日志。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會(huì)不管三七二十一把日志全都刪掉,但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會(huì)知道有人干了壞事了,頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反,真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉,讓人看不到異常的情況。這樣可以長時(shí)間地利用傀儡機(jī)。
但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程,即使在有很好的日志清理工具的幫助下,黑客也是對(duì)這個(gè)任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈,通過它上面的線索找到了控制它的上一級(jí)計(jì)算機(jī),這上級(jí)的計(jì)算機(jī)如果是黑客自己的機(jī)器,那么他就會(huì)被揪出來了。但如果這是控制用的傀儡機(jī)的話,黑客自身還是安全的。控制傀儡機(jī)的數(shù)目相對(duì)很少,一般一臺(tái)就可以控制幾十臺(tái)攻擊機(jī),清理一臺(tái)計(jì)算機(jī)的日志對(duì)黑客來講就輕松多了,這樣從控制機(jī)再找到黑客的可能性也大大降低。
被DDoS攻擊時(shí)的現(xiàn)象
能瞬間造成對(duì)方電腦死機(jī)或者假死,有人曾經(jīng)測(cè)試過,攻擊不到1秒鐘,電腦就已經(jīng)死機(jī)和假死,鼠標(biāo)圖標(biāo)不動(dòng)了,系統(tǒng)發(fā)出滴滴滴滴的聲音。從而使被攻擊服務(wù)器停止正常運(yùn)行,造成網(wǎng)絡(luò)訪問不穩(wěn)定!
DDOS的防護(hù)方法
1 手工防護(hù)
一般而言手工方式防護(hù)DDOS主要通過兩種形式:
系統(tǒng)優(yōu)化――主要通過優(yōu)化被攻擊系統(tǒng)的核心參數(shù),提高系統(tǒng)本身對(duì)DDoS攻擊的響應(yīng)能力。但是這種做法只能針對(duì)小規(guī)模的DDOS進(jìn)行防護(hù)。
網(wǎng)絡(luò)追查――遭受DDoS攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級(jí)網(wǎng)絡(luò)運(yùn)營商,這有可能是ISP、IDC等,目的就是為了弄清楚攻擊源頭。
2 退讓策略
為了抵抗DDOS攻擊,客戶可能會(huì)通過購買硬件的方式來提高系統(tǒng)抗DDOS的能力。但是這種退讓策略的效果并不好,一方面由于這種方式的性價(jià)比過低,另一方面,黑客提高供給流量之后,這種方法往往失效,所以不能從根本意義上防護(hù)DDoS攻擊。
3 路由器
通過路由器,我們可以實(shí)施某些安全措施,比如ACL等,這些措施從某種程度上確實(shí)可以過濾掉非法流量。一般來說,ACL可以基于協(xié)議或源地址進(jìn)行設(shè)置,但是目前眾多的DDOS攻擊采用的是常用的一些合法協(xié)議,比如http協(xié)議,這種情況下,路由器就無法對(duì)這樣的流量進(jìn)行過濾。同時(shí),如果DDOS攻擊采用地址欺騙的技術(shù)偽造數(shù)據(jù)包,那么路由器也無法對(duì)這種攻擊進(jìn)行有效防范。 另一種基于路由器的防護(hù)策略是采用Unicast Reverse Path Forwarding (uRPF)在網(wǎng)絡(luò)邊界來阻斷偽造源地址IP的攻擊,但是對(duì)于今天的DDOS攻擊而言,這種方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通過判斷出口流量的源地址,如果不屬于內(nèi)部子網(wǎng)的則給予阻斷。而攻擊者完全可以偽造其所在子網(wǎng)的IP地址進(jìn)行DDoS攻擊,這樣就完全可以繞過uRPF防護(hù)策略。除此之外,如果希望uRPF策略能夠真正的發(fā)揮作用,還需要在每個(gè)潛在攻擊源的前端路由器上配置uRPF,但是要實(shí)現(xiàn)這種情況,現(xiàn)實(shí)中幾乎不可能做到。
4 防火墻
防火墻幾乎是最常用的安全產(chǎn)品,但是防火墻設(shè)計(jì)原理中并沒有考慮針對(duì)DDOS攻擊的防護(hù),在某些情況下,防火墻甚至成為DDOS攻擊的目標(biāo)而導(dǎo)致整個(gè)網(wǎng)絡(luò)的拒絕服務(wù)。 首先是防火墻缺乏DDOS攻擊檢測(cè)的能力。通常,防火墻作為三層包轉(zhuǎn)發(fā)設(shè)備部署在網(wǎng)絡(luò)中,一方面在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí),它也為內(nèi)部需要提供外部Internet服務(wù)的設(shè)備提供了通路,如果DDOS攻擊采用了這些服務(wù)器允許的合法協(xié)議對(duì)內(nèi)部系統(tǒng)進(jìn)行攻擊,防火墻對(duì)此就無能為力,無法精確的從背景流量中區(qū)分出攻擊流量。雖然有些防火墻內(nèi)置了某些模塊能夠?qū)暨M(jìn)行檢測(cè),但是這些檢測(cè)機(jī)制一般都是基于特征規(guī)則,DDOS攻擊者只要對(duì)攻擊數(shù)據(jù)包稍加變化,防火墻就無法應(yīng)對(duì),對(duì)DDOS攻擊的檢測(cè)必須依賴于行為模式的算法。
第二個(gè)原因就是傳統(tǒng)防火墻計(jì)算能力的限制,傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià),檢查的強(qiáng)度越高,計(jì)算的代價(jià)越大。而DDOS攻擊中的海量流量會(huì)造成防火墻性能急劇下降,不能有效地完成包轉(zhuǎn)發(fā)的任務(wù)。 最好防火墻的部署位置也影響了其防護(hù)DDOS攻擊的能力。傳統(tǒng)防火墻一般都是部署在網(wǎng)絡(luò)入口位置,雖然某種意義上保護(hù)了網(wǎng)絡(luò)內(nèi)部的所有資源,但是其往往也成為DDOS攻擊的目標(biāo),攻擊者一旦發(fā)起DDOS攻擊,往往造成網(wǎng)絡(luò)性能的整體下降,導(dǎo)致用戶正常請(qǐng)求被拒絕。
5 入侵檢測(cè)
目前IDS系統(tǒng)是最廣泛的攻擊檢測(cè)工具,但是在面臨DDOS攻擊時(shí),IDS系統(tǒng)往往不能滿足要求。
原因其一在于入侵檢測(cè)系統(tǒng)雖然能夠檢測(cè)應(yīng)用層的攻擊,但是基本機(jī)制都是基于規(guī)則,需要對(duì)協(xié)議會(huì)話進(jìn)行還原,但是目前DDoS攻擊大部分都是采用基于合法數(shù)據(jù)包的攻擊流量,所以IDS系統(tǒng)很難對(duì)這些攻擊有效檢測(cè)。雖然某些IDS系統(tǒng)本身也具備某些協(xié)議異常檢測(cè)的能力,但這都需要安全專家手工配置才能真正生效,其實(shí)施成本和易用性極低。
原因之二就在于IDS系統(tǒng)一般對(duì)攻擊只進(jìn)行檢測(cè),但是無法提供阻斷的功能。IDS系統(tǒng)需要的是特定攻擊流檢測(cè)之后實(shí)時(shí)的阻斷能力,這樣才能真正意義上減緩DDOS對(duì)于網(wǎng)絡(luò)服務(wù)的影響。
IDS系統(tǒng)設(shè)計(jì)之初就是作為一種基于特征的應(yīng)用層攻擊檢測(cè)設(shè)備。而DDOS攻擊主要以三層或是四層的協(xié)議異常為其特點(diǎn),這就注定了IDS技術(shù)不太可能作為DDOS的檢測(cè)或是防護(hù)手段。目前的防御算法對(duì)所有已知的拒絕服務(wù)攻擊是免疫的,也就是說,是完全可以抵抗已知DoS/DDoS攻擊的。
對(duì)于DDOS防御的理解
對(duì)付DDOS是一個(gè)系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄,也就相當(dāng)于成功的抵御了DDOS攻擊。
DDoS防御的方法總結(jié):
1.采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對(duì)抗某些種類的DDOS攻擊是非常有效的。
2.盡量避免NAT的使用
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力,其實(shí)原因很簡單,因?yàn)镹AT需要對(duì)地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算,因此浪費(fèi)了很多CPU的時(shí)間,但有些時(shí)候必須使用NAT,那就沒有好辦法了。
3.充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會(huì)超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M,這點(diǎn)一定要搞清楚。
4.升級(jí)主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請(qǐng)盡量提升硬件配置,要有效對(duì)抗每秒10萬個(gè)SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P4 2.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強(qiáng)雙CPU的話就用它吧,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別只貪IDE價(jià)格不貴量還足的便宜,否則會(huì)付出高昂的性能代價(jià),再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5.把網(wǎng)站做成靜態(tài)頁面
大量事實(shí)證明,把網(wǎng)站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn),看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面,若你非需要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去,免的遭受攻擊時(shí)連累主服務(wù)器,當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
6.增強(qiáng)操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個(gè)SYN攻擊包,若沒有開啟則僅能抵御數(shù)百個(gè),具體怎么開啟,自己去看微軟的文章吧!《強(qiáng)化 TC
P/IP 堆棧安全》。 也許有的人會(huì)問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN Cookies》。
7.安裝專業(yè)抗DDOS防火墻
綠盟黑洞: X86架構(gòu),Linux內(nèi)核與自主專利的抗syn-flood算法。對(duì)抗單一類型的syn,udp,icmp dos效果很好,但是當(dāng)多種混合時(shí)效果就略差。優(yōu)點(diǎn)是更新快,技術(shù)支持比較好,在100M環(huán)境下對(duì)syn-flood有絕對(duì)優(yōu)勢(shì)。缺點(diǎn)是文檔和信息缺乏,同時(shí)工作(軟硬件兩方面)不是很穩(wěn)定。
金盾抗拒絕服務(wù)系統(tǒng):金盾抗拒絕服務(wù)系列產(chǎn)品,應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法,對(duì)SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,F(xiàn)ragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各種常見的攻擊行為均可有效識(shí)別,并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行處理及阻斷,保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失。內(nèi)建的WEB保護(hù)模式及游戲保護(hù)模式,徹底解決針對(duì)此兩種應(yīng)用的DOS攻擊方式。金盾抗拒絕服務(wù)系列產(chǎn)品,除了提供專業(yè)的DOS/DDOS攻擊檢測(cè)及防護(hù)外,還提供了面向報(bào)文的通用規(guī)則匹配功能,可設(shè)置的域包括地址、端口、標(biāo)志位,關(guān)鍵字等,極大的提高了通用性及防護(hù)力度。同時(shí),內(nèi)置了若干預(yù)定義規(guī)則,涉及局域網(wǎng)防護(hù)、漏洞檢測(cè)等多項(xiàng)功能,易于使用。
天網(wǎng)防火墻: 最早基于OpenBSD內(nèi)核,X86架構(gòu),現(xiàn)在應(yīng)該也是Linux內(nèi)核了。很早就加入了抗syn-flood功能,實(shí)際應(yīng)該是syn-cache/syn-cookie的改進(jìn)或加強(qiáng)版。實(shí)際測(cè)試syn流量64B包抵抗極限大概是25M左右。當(dāng)小于20M是還是可以看到效果的。同時(shí)結(jié)合良好的防火墻策略應(yīng)該也可以做到針對(duì)udp/icmp等類型的限制。 一己拙見: 防火墻一般來說還是讓它作為自己的專業(yè)用途(訪問控制)比較好,當(dāng)然在網(wǎng)絡(luò)業(yè)務(wù)不是很重要的生產(chǎn)類企業(yè)來說,買個(gè)防火墻同時(shí)兼有簡單的抗syn功能倒也不錯(cuò)。
8.其他防御措施
以上幾條對(duì)抗DDOS建議,適合絕大多數(shù)擁有自己主機(jī)的用戶,但假如采取以上措施后仍然不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù),甚至需要購買七層交換機(jī)設(shè)備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入。
DDOS應(yīng)付方法
DdoS攻擊是黑客最常用的攻擊手段,下面列出了對(duì)付它的一些常規(guī)方法。
1.定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),清查可能存在的安全漏洞,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬,是黑客利用的最佳位置,因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī),所以定期掃描漏洞就變得更加重要了。
2.在骨干節(jié)點(diǎn)配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候,可以將攻擊導(dǎo)向一些犧牲主機(jī),這樣可以保護(hù)真正的主機(jī)不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機(jī)可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。
3.用足夠的機(jī)器承受黑客攻擊
這是一種較為理想的應(yīng)對(duì)策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時(shí),自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時(shí)大多數(shù)設(shè)備處于空閑狀態(tài),和目前中小企業(yè)網(wǎng)絡(luò)實(shí)際運(yùn)行情況不相符。
4.充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源
所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備,它們可將網(wǎng)絡(luò)有效地保護(hù)起來。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)最先死掉的是路由器,但其他機(jī)器沒有死。死掉的路由器經(jīng)重啟后會(huì)恢復(fù)正常,而且啟動(dòng)起來還很快,沒有什么損失。若其他服務(wù)器死掉,其中的數(shù)據(jù)會(huì)丟失,而且重啟服務(wù)器又是一個(gè)漫長的過程。特別是一個(gè)公司使用了負(fù)載均衡設(shè)備,這樣當(dāng)一臺(tái)路由器被攻擊死機(jī)時(shí),另一臺(tái)將馬上工作。從而最大程度的削減了DdoS的攻擊。
5.過濾不必要的服務(wù)和端口
過濾不必要的服務(wù)和端口,即在路由器上過濾假IP……只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
6.檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡(luò)安全性。
7.過濾所有RFC1918 IP地址
RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個(gè)網(wǎng)段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,應(yīng)該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問,而是將攻擊時(shí)偽造的大量虛假內(nèi)部IP過濾,這樣也可以減輕DdoS的攻擊。
8.限制SYN/ICMP流量
用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時(shí),說明不是正常的網(wǎng)絡(luò)訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對(duì)于DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
最后為今天的事做個(gè)總結(jié):小蟲還是那句話,在網(wǎng)絡(luò)路上想走得長久,走得穩(wěn)。還是得務(wù)實(shí)本分,憑真功夫真刀實(shí)槍地干。你妒忌別人在百度上排名好,那你就把自己也排上去,?;ㄕ胁凰愦蟊臼?,也成不了氣候的。因?yàn)槟Ц咭怀撸栏咭徽?沒準(zhǔn)哪到被收監(jiān)就更不劃算了。