草丁图书馆

  1. 首页 > 生活杂烩 >

如何防御ddos,防范DDOS( 二 )

小知识


(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备 , 它们可将网络有效地保护起来 。 当网络被攻击时最先死掉的是路由器 , 但其他机器没有死 。 死掉的路由器经重启后会恢复正常 , 而且启动起来还很快 , 没有什么损失 。 若其他服务器死掉 , 其中的数据会丢失 , 而且重启服务器又是一个漫长的过程 。 特别是一个公司使用了负载均衡设备 , 这样当一台路由器被攻击死机时 , 另一台将马上工作 。 从而最大程度的削减了DdoS的攻击 。
(5)过滤不必要的服务和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口 , 即在路由器上过滤假IP 。 比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较 , 并加以过滤 。 只开放服务端口成为目前很多服务器的流行做法 , 例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略 。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真 , 如果是假的 , 它将予以屏蔽 。 许多黑客攻击常采用假IP地址方式迷惑用户 , 很难查出它来自何处 。 因此 , 利用Unicast Reverse Path Forwarding可减少假IP地址的出现 , 有助于提高网络安全性 。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址 , 像10.0.0.0、192.168.0.0 和172.16.0.0 , 它们不是某个网段的固定的IP地址 , 而是Internet内部保留的区域性IP地址 , 应该把它们过滤掉 。 此方法并不是过滤内部员工的访问 , 而是将攻击时伪造的大量虚假内部IP过滤 , 这样也可以减轻DdoS的攻击 。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽 , 这样 , 当出现大量的超过所限定的SYN/ICMP流量时 , 说明不是正常的网络访问 , 而是有黑客入侵 。 早期通过限制SYN/ICMP流量是最好的防范DOS的方法 , 虽然目前该方法对于DdoS效果不太明显了 , 不过仍然能够起到一定的作用 。
三、寻找机会应对攻击
如果用户正在遭受攻击 , 他所能做的抵御工作将是非常有限的 。 因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户 , 很可能在用户还没回过神之际 , 网络已经瘫痪 。 但是 , 用户还是可以抓住机会寻求一线希望的 。
(1)检查攻击来源 , 通常黑客会通过很多假IP地址发起攻击 , 此时 , 用户若能够分辨出哪些是真IP哪些是假IP地址 , 然后了解这些IP来自哪些网段 , 再找网网管理员将这些机器关闭 , 从而在第一时间消除攻击 。 如果发现这些IP地址是来自外面的而不是公司内部的IP的话 , 可以采取临时过滤的方法 , 将这些IP地址在服务器或路由器上过滤掉 。
(2)找出攻击者所经过的路由 , 把攻击屏蔽掉 。 若黑客从某些端口发动攻击 , 用户可把这些端口屏蔽掉 , 以阻止入侵 。 不过此方法对于公司网络出口只有一个 , 而又遭受到来自外部的DdoS攻击时不太奏效 , 毕竟将出口端口封闭后所有计算机都无法访问internet了 。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP 。 虽然在攻击时他无法完全消除入侵 , 但是过滤掉ICMP后可以有效的防止攻击规模的升级 , 也可以在一定程度上降低攻击的级别 。
企业应该如何防御ddos攻击? 分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击 。 它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击 , 在带宽相对的情况下 , 被攻击的主机很容易失去反应能力 。 作为一种分布、协作的大规模攻击方式 , 分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点 , 像商业公司 , 搜索引擎和政府部门的站点 。 由于它通过利用一批受控制的机器向一台机器发起攻击 , 来势迅猛 , 而且往往令人难以防备 , 具有极大的破坏性 。

推荐阅读


上一篇:老年斑如何消除,老年人的老年斑怎么去掉

下一篇:如何打开vpn